このたび、Studio CMSのAPIレスポンスにおいて、CMSのコンテンツを編集されたユーザーご自身のアカウント情報が、公開サイトのAPIレスポンスに意図せず含まれていたことが判明いたしました。

ユーザーならびに関係者の皆様にご心配とご迷惑をおかけしましたことを、深くお詫び申し上げます。

概要

Studio CMSをご利用のプロジェクトにおいて、公開サイト上のCMS機能が返すデータ（JSONレスポンス）の中に、CMSでコンテンツの作成・更新を行ったユーザーご自身の以下のアカウント情報が含まれておりました。これにより、公開サイトの閲覧者が、最終更新者の以下の情報を確認できる状態となっておりました。

• メールアドレス

• ユーザー名

• アバター画像のURL

上記情報は公開サイトの画面上には表示されておらず、ブラウザの開発者ツール等でAPIレスポンスを確認した場合にのみ閲覧可能な状態でした。通常のサイト閲覧操作では表示されない情報です。
意図せず含まれていた情報は、CMSコンテンツ編集者ご自身のStudioアカウント情報に限られます。サイト閲覧者やその他第三者の個人情報が含まれていた事実はございません。

影響を受けた方

• 対象: Studio CMSを利用しているプロジェクトにおいて、CMSコンテンツの作成・更新を行ったStudioユーザー

• 影響期間: 2024年12月13日〜2026年2月17日

二次被害のおそれについて

本件で意図せず含まれていた情報はメールアドレス、ユーザー名、アバター画像のURLであり、パスワードやクレジットカード情報等の機密性の高い情報は含まれておりません。現時点において、本件に起因する二次被害の報告は確認されておりません。

ただし、メールアドレスが第三者に知られた場合、迷惑メールやフィッシングメールの送信に利用される可能性がございます。身に覚えのない不審なメールを受信された場合は、リンクを開かず削除いただくようお願いいたします。

経緯

• 2026年2月17日 16:00 ユーザー様より、Studio CMSのAPIレスポンスに個人情報が含まれているとのご報告を受領

• 2026年2月17日 17:37 社内にて事象を確認、影響範囲の調査を開始

• 2026年2月17日 21:10 影響範囲の拡大を防ぐため、APIレスポンスから該当フィールドを除去する修正をデプロイ

• 2026年2月17日 21:21 CDNキャッシュの無効化を完了し、混入状態を解消

• 2026年2月18日 15:49 個人情報保護委員会へ速報を報告

• 2026年2月20日 本お知らせの公開およびユーザーへのメール通知を実施

原因

Studio CMSのAPI実装において、CMSコンテンツのデータに編集者のアカウント情報が紐づいた状態でレスポンスに含まれる仕様となっておりました。
本来、公開サイト向けのAPIレスポンスには含まれるべきではない情報が、実装時の考慮不足により露出する状態となっていたものです。

対応状況

個人情報が公開サイトから閲覧できないよう、2月17日 21:21 までに、対策を完了しております。

• APIのレスポンスから該当する個人情報フィールドを除去

• CDNキャッシュのパージによる、キャッシュ情報の削除

今後の対応

• APIレスポンスに含まれるデータの定期的なセキュリティレビュー体制の構築

• 個人情報に該当するデータの取り扱いに関する社内教育の強化

• 個人情報保護委員会への確報提出

お問い合わせ

本件に関するお問い合わせは、下記までご連絡ください。
ご自身の情報に関するお問い合わせもこちらで承ります。

Studio株式会社
お問い合わせ先: security@studio.design