ニュース 2020.12.23 PayPay　営業データベースのアクセス権が外れて不正アクセス被害

11月28日、ブラジルから営業用データベースへの不審なアクセス履歴を発見し、12月1日から調査を開始し、情報流出の可能性を確認。加盟店の名称、住所、代表者名など2007万件の情報が流出した恐れがあるが、7日時点で悪用された形跡はなく、一般ユーザーの個人情報は流出していないとした。

攻撃をうけた営業用データベースは、本来は社内でも営業担当者のみがアクセスできるデータであったが、データ管理用クラウドサーバーを更新した際に、ペイペイ側で行ったアクセス権限設定に不備があり、10月18日～12月3日の間、外部からもアクセス可能な状態になっていた。

AWS（Amazon Web Services）やMicrosoft Azure、GCP(Google Cloud Platform）のようなクラウドサーバーでは、クラウドサービスプロバイダーの責任範囲がネットワークやハードウェアの提供に限定されている。

そのため、サーバー上で稼働するOSより上のレイヤーについては、利用者側の責任範囲になる。

しかし、クラウドは、機能追加や改善のペースも早いため、従来のように、システム担当者が人力で仕様変更に洩れなく追随するのは困難であり、実際に、クラウドの設定や権限設定の不備によるセキュリティ事故も発生しやすいのが現状だ。

こうしたセキュリティリスクに対処するためには、CASB（Cloud Access Security Broker）等のシステムソリューションを利用することも有効とされている。サービスを可視化することで、クラウドのセキュリティ設定ミスを把握し、不正アクセスなどの兆候を検知することも可能だ。

クラウド導入をする企業のシステム担当は、今後、こうしたサービスの導入も検討して運用していくことも必要になるだろう。

【関連リンク】

・ペイペイ、情報流出か　不正アクセス確認（日経新聞）
https://www.nikkei.com/article/DGKKZO67094880X01C20A2TJ1000?unlock=1

・当社管理サーバーのアクセス履歴について（PayPay）
https://paypay.ne.jp/notice/20201207/02/

TEXT：セキュリティ通信 編集部
PHOTO：iStock