ニュース 2021.02.25 freee、ログイン不要の各種「問い合わせフォーム」に設定不備

同フォームは、freeeのアカウントにログインすることなく利用が可能なもので、アクセス可能な状態にあった期間は、2020年1月29日から2021年2月9日までの約1年間。

漏えいの可能性がある情報は、同社の問い合わせフォームに情報を送信したユーザーの、メールアドレスや電話番号、住所、クレジットカード番号などを含む2898件の個人情報。

同社は、2月8日22時頃、サーバーの設定不備を確認し、すでに、設定変更を完了しているとした。

尚、同社が提供する「クラウド会計ソフトfreee」「人事労務freee」など、各種サービスについては、同様の事案は発生していないという。

freeeが問い合わせの管理に使っていたCRM（顧客関係管理）ツールは、Salesforce。

外部からのアクセスが可能になっていた要因は、クラウドのアクセス権限設定に不備があったためで、プラットフォームの脆弱性などに起因するものではない。

2020年12月末より、同ツールを利用していた楽天やPayPay社で不正アクセスが相次いだが、原因は、今回同様クラウドの設定ミスであったことが分かっている。

内閣サイバーセキュリティセンター（NISC）も、1月29日、重要インフラ事業者などに対し、Salesforceの設定不備に起因する情報流出の可能性に対し、注意喚起を行っていた。

Salesforce利用者は、引き続き、自社の環境設定を確認しておいたほうがよいだろう。

【関連リンク】

・freee、個人情報約3000件が閲覧可能な状態に　Salesforce製品の設定ミス（ITmedia）
https://www.itmedia.co.jp/news/articles/2102/10/news135.html

TEXT：セキュリティ通信 編集部
PHOTO：iStock