ニュース 2021.02.16 Salesforce利用企業、アクセス権限設定ミスで相次ぐ情報流出

2月1日までに、楽天、PayPay、イオン、バンダイや日本政府観光局（JNTO）と、次々に不正アクセスを受けたことが判明。いずれもSalesforceの利用者だった。

流出した可能性のある情報は、楽天では最大148万件、PayPayでは2000万件、さらに、JINTOでは、第三者からのアクセスがあった可能性がある期間を2015年8月25日から2021年1月12日までとしており、アクセスされた可能性のある情報は4万9774件に達するという。

Salesforceは、株式会社セールスフォース・ドットコムが提供する顧客関係管理ソリューションツール。

不正アクセスを受けるに至った原因は、「クラウド型営業管理システムのセキュリティー設定の不備」だという。

クラウドサービスは、自社内設備と違い、常に最新技術に更新された環境を利用できることが最大のメリットといえる。しかし、ツールがアップデートされると同時に、仕様変更も頻繁にあるのが常である。

そのため、クラウド利用に慣れているセキュリティ担当者であれば、アップデートが行われれば設定確認も行うなど、クラウドならではの扱いにも余念がない。

今回判明している設定不備も、システムアップデート時に変更されたアクセス権限に気がつかなかった故に起こっている事故であり、本来は関係者のみがアクセスできる個人情報を第三者も閲覧できるようになっていた。

NISCでは、改めて同サービスの各種設定確認を行うなど、セールスフォース・ドットコム社が公開する情報を参考にして、適切なセキュリティ対策を行うよう訴えた。

【関連リンク】

・Salesforce の製品の設定不備による意図しない情報が 外部から参照される可能性について（内閣サイバーセキュリティセンター）
https://www.nisc.go.jp/active/infra/pdf/salesforce20210129.pdf

・セールスフォース「脆弱性に起因するものではない」（日経新聞）
https://www.nikkei.com/article/DGXZQOFK020YP0S1A200C2000000/

TEXT：セキュリティ通信 編集部
PHOTO：iStock