ITmedia NEWS > 製品動向 >
ニュース
» 2021年02月02日 16時35分 公開

「設定を見直して」 NISC、「Salesforce」利用企業に注意喚起 楽天やPayPayの情報流出を受け

内閣サイバーセキュリティセンター(NISC)が意図せずに情報が外部から参照される可能性があるとして、米Salesforce.comの製品に関する声明を発表。設定の確認などを呼び掛けている。

[樋口隆充,ITmedia]

 「Salesforceの設定不備に注意して」――内閣サイバーセキュリティセンター(NISC)が、外部から不正アクセスされるリスクがあるとして、米Salesforce.comの製品に関するこんな声明文を発表した。CRM(顧客関係管理)ツール「Salesforce」を利用する楽天とPayPay社で不正アクセスが相次いだことを受けての対応だが、NISCが特定の製品に対して注意喚起するのは異例だ。

photo NISCが入る霞が関の庁舎(出典:公式Facebook)

 NISCが1月29日に出した声明では、Salesforceについて「データのアクセス権などの設定不備で、意図しない情報が外部から参照される可能性がある」と指摘。「サービスの利用状況や各種設定の確認・見直しを行うなど適切なセキュリティ対策を講ずることが必要」としている。

 NISCの担当者は「明らかになっているのは氷山の一角。楽天やPayPay社だけの問題なら注意喚起は出さないが、国民の個人情報がさらされる懸念があるのは見過ごせないため、今回発表した」と説明した。

photo NISCのプレスリリース

不正アクセスが頻発

 Salesforceを巡っては、同ツールを利用していた楽天やPayPay社で不正アクセスが相次ぎ、それぞれ順に最大148万件、2000万件の情報が外部に流出した可能性がある。さらにイオンでも1月25日までに、設定ミスによる不正アクセスが明らかになっている。いずれもシステムのアップデート時にアクセス権限が変更され、本来は一部の社員しかアクセスできない個人情報を第三者が閲覧できるようになっていた。

 Salesforce.comは2020年12月25日、声明を発表。「この問題は、コミュニティー、Salesforceサイト(旧Force.comサイト)などのサイト上に構築する『公開サイト機能』をご利用のお客さまにのみ発生する事象」とした上で、「Salesforceプラットフォーム固有の脆弱性に起因するものではない」と釈明している。

 「アクセス制御の権限設定が適切に行われていない場合に発生する可能性がある」(同社)として、ゲストユーザーのアクセス権限の設定を再確認することを求めている。

photo Salesforceのプレスリリース

Copyright © ITmedia, Inc. All Rights Reserved.