「設定を見直して」 NISC、「Salesforce」利用企業に注意喚起 楽天やPayPayの情報流出を受け
内閣サイバーセキュリティセンター(NISC)が意図せずに情報が外部から参照される可能性があるとして、米Salesforce.comの製品に関する声明を発表。設定の確認などを呼び掛けている。
「Salesforceの設定不備に注意して」――内閣サイバーセキュリティセンター(NISC)が、外部から不正アクセスされるリスクがあるとして、米Salesforce.comの製品に関するこんな声明文を発表した。CRM(顧客関係管理)ツール「Salesforce」を利用する楽天とPayPay社で不正アクセスが相次いだことを受けての対応だが、NISCが特定の製品に対して注意喚起するのは異例だ。
NISCが1月29日に出した声明では、Salesforceについて「データのアクセス権などの設定不備で、意図しない情報が外部から参照される可能性がある」と指摘。「サービスの利用状況や各種設定の確認・見直しを行うなど適切なセキュリティ対策を講ずることが必要」としている。
NISCの担当者は「明らかになっているのは氷山の一角。楽天やPayPay社だけの問題なら注意喚起は出さないが、国民の個人情報がさらされる懸念があるのは見過ごせないため、今回発表した」と説明した。
不正アクセスが頻発
Salesforceを巡っては、同ツールを利用していた楽天やPayPay社で不正アクセスが相次ぎ、それぞれ順に最大148万件、2000万件の情報が外部に流出した可能性がある。さらにイオンでも1月25日までに、設定ミスによる不正アクセスが明らかになっている。いずれもシステムのアップデート時にアクセス権限が変更され、本来は一部の社員しかアクセスできない個人情報を第三者が閲覧できるようになっていた。
Salesforce.comは2020年12月25日、声明を発表。「この問題は、コミュニティー、Salesforceサイト(旧Force.comサイト)などのサイト上に構築する『公開サイト機能』をご利用のお客さまにのみ発生する事象」とした上で、「Salesforceプラットフォーム固有の脆弱性に起因するものではない」と釈明している。
「アクセス制御の権限設定が適切に行われていない場合に発生する可能性がある」(同社)として、ゲストユーザーのアクセス権限の設定を再確認することを求めている。
関連記事
- 楽天に不正アクセス、最大148万件以上の情報流出の恐れ 営業管理用SaaSの設定にミス
楽天グループが、利用中の営業管理用SaaSに不正アクセスを受け、保管していた個人情報など最大148万6291件が流出した可能性があると発表した。営業管理用SaaSのセキュリティ設定にミスがあったことが原因という。 - PayPayのサーバに不正アクセス 加盟店情報など2000万件に流出の可能性
PayPayのサーバに不正アクセス。加盟店の名称、住所、代表者名など2007万6016件の情報が流出した恐れがある。一般ユーザーの個人情報は流出していないという。 - 大阪大に不正アクセス 4万3000人の情報流出の恐れ
大阪大学が、学内の宿泊施設予約システムのサーバへ不正アクセスを受け、利用者4万3213人の氏名、生年月日など個人情報が流出した可能性があると発表した。 - 「Vプリカ」アプリ一時停止 不正アクセスで
ネット専用のVisaプリペイドカード「Vプリカ」アプリに不正アクセス。9日からアプリのサービスを一時停止した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.