ニュース 2021.06.02 三井住友銀行のカードローン申請者情報が閲覧されていた可能性

原因は、第三者からクラウドシステムへの不正アクセス。不正アクセスがあったのは、2016年12月27日から2020年7月18日にかけて、同行ホームページ上でカードローン申請を行った顧客の個人情報を保存していたサーバー。

同行では、セールフォース・ドットコムの顧客管理ソフト「Salesforce」を利用しているが、昨年12月、金融庁からの同製品へのアクセス権限設定不備に関する注意喚起を受けて、調査を実施し、問題ないという判断をしていた。

今回の問題発覚は、セールスフォースからの情報提供だった。

サーバーのアクセス権限設定のうち、氏名とメールアドレス以外の権限設定には問題がなかった。しかし、氏名とメールアドレスについては、設定ミスが見つかったため、再調査が行われたという。

現状では、被害者からの申し出はなく、設定不備も解消済み。また、被害の可能性があった102人に対しては謝罪をしている。

Salesforceは世界で最も人気のある顧客管理ソフトだといわれている。昨年の注意喚起を受けて、アクセス権限設定の見直しをしている企業も多数あるはずだが、まだ見落としはある可能性があるということだ。

サーバーの更新時など、特に注意をして設定確認をするなど、システムの扱いに徹底的に慣れていく必要がありそうだ。

【関連リンク】

・外部クラウド利用したカードローン申込窓口に設定不備 - 三井住友信託銀（Security NEXT）
https://www.security-next.com/126359

TEXT：セキュリティ通信 編集部
PHOTO：iStock