freee、顧客情報2898件流出の恐れ 原因はセールスフォース製品の設定ミス【追記あり】:メールアドレスなど
【※追記:2021年3月3日午後4時40分 freeeが3月1日に発表した内容に基づき、その後の調査で不正アクセスは見当たらず、情報漏えいがなかったことを追記しました】
クラウド会計ソフトを手掛けるfreeeは2月10日、約2898件の顧客情報が流出した可能性があると発表した。同社が使用している、セールスフォース・ドットコムのクラウド型問い合わせ管理システムの権限設定にミスがあり、第三者が閲覧可能な状態だった。同日時点で、実際に第三者からのアクセスや、被害は確認していないという。
流出した可能性があるのは、2020年1月29日〜21年2月9日、freeeのアカウントにログインせずに問い合わせができる「アカウント再設定申請フォーム」「料金・お支払い関連用問い合わせフォーム」「人材募集(求人一覧)」で、問い合わせをした顧客の情報。
具体的には、メールアドレス2898件、氏名1744件、電話番号794件、住所7件、銀行口座番号3件、クレジットカード番号2件、freee以外のサービスのIDとパスワード2件、freeeのログインIDとパスワード1件が漏えいした恐れがある。
2月8日夜に判明し、9日には第三者がアクセスできないように設定を変更した。
昨年12月以降、セールスフォースのクラウドサービスを導入している楽天、PayPayなどが、設定ミスにより情報が漏えいした可能性があると報じられている。トラブルを受け、セールスフォースは、設定を見直すようにメールなどで導入企業に連絡している。
追記
freeeは3月1日、ログ解析などの調査の結果、不正アクセスは見当たらず、情報漏えいはなかったと発表した。同社は「今回の事案では幸いにもお客様さまへの影響はなかったが、今後も貴重な情報を預かる企業として、あらゆるシステムについて一層のセキュリティ強化に努める」としている。
関連記事
VPNは危ない? テレワーク時代に急浮上、新しいセキュリティの考え方「ゼロトラスト」って何だ?
テレワークが広がる中、VPNという「境界防御」の延長線上にある技術ではなく「ゼロトラストセキュリティ」という新しい考え方を取り入れる企業が日本でも出てきた。どんな概念なのか。
「急遽テレワーク導入」に落とし穴 国内約40社が被害「VPN不正アクセス事件」が他人事とは限らない理由
8月下旬に「パルセキュア社のVPN製品の脆弱性を突かれて、認証情報などが盗まれてしまい、ネット上で公開された」という事件がメディアを賑わせた。この一件にはいくつか他山の石にしたいポイントがある。
2万人超“全員テレワーク”を実現、VPNのパンクを回避したLIXIL
4月から原則、在宅勤務に切り替えたLIXILグループ。コロナ禍以前は「全員が同時にテレワーク」は想定しておらず、対応に追われたという。全員が同時にVPN接続するとパンクしてしまう、という課題をどう打破したのか。
カプコンも襲撃「ランサムウェア」、この数年で“手口に異変” どう対策?
11月、ゲーム大手のカプコンが「ランサムウェア」の被害を受けました。ランサムウェア自体は昔から存在していました。しかしこの数年、ランサムウェアは少しずつやり方を変え、ターゲットを変え、今や多くの企業の脅威となっています。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
注目記事ランキング
FeedBack
ITmediaはアイティメディア株式会社の登録商標です。