ScanNetSecurityからの引用記事となります。

https://scan.netsecurity.ne.jp/article/2020/06/22/44230.html

概要

TIS社は、同社が提供する”RemoteWorks”に以下のような脆弱性があることを公開した。

• システム利用時に、他の利用者のユーザIDを含むエラーメッセージが表示される
• システム利用時に、他の利用者のWindowsログイン画面が表示される

なおこの現象は、「システムのトラフィック増大等により処理に遅延が発生した際に、他のユーザとのセッションの取り違え」が発生するとのこと。

現時点で外部からの攻撃や情報漏洩が発生した可能性は低いとしている。

一方で、問題の根本解決のためには、アーキテクチャ全体の見直しが必要となるため、同社はサービスを終了することを決定した。

思うこと

サービスを終了することで、リスクの”回避”を行った形ですね、、苦渋の決断だったと思います。。

高負荷時に予期せぬ挙動をする、というのはよくある脆弱性ですが、 負荷（ストレス）テストを実施していなかったか、もしくはやっていたものの発見できなかった形ですかね。

あとは素人の意見ですが、こういった脆弱性が起きることを前提に、アジャイル的に変更が加えやすいアーキテクチャにしておくのが大事のかなと思ったりしました。

以上