SMBC日興証券・信託銀行、個人情報約12万件が閲覧可能な状態に Salesforce製品に設定ミス 一部で流出も
SMBC日興証券とSMBC信託銀行が不正アクセスを受け、合計11万8764件の個人情報が閲覧可能になっていたと発表。情報の管理に使っていたCRMツール「Salesforce」の権限設定に不備があったという。
SMBC日興証券とSMBC信託銀行は3月8日、合計11万8764件の個人情報が外部から閲覧可能な状態になっていたと発表した。どちらも情報の管理に使っていたCRM(顧客関係管理)ツール「Salesforce」の権限設定に不備があったという。このうち151件は実際に流出を確認した。
【訂正履歴:2021年3月9日午後3時 当初、タイトルなどで「流出か」「漏えいした可能性があると発表した」としておりましたが、正しくは「閲覧可能な状態になっていた」でした。また、SMBC信託銀行で閲覧可能な状態になっていた情報について、当初は「デビットカードの暗証番号」としていましたが、正しくは「暗号化されたデビットカードの暗証番号」でした。お詫びして訂正します。】
【編集履歴:2021年3月9日午後4時20分 タイトルと本文に、流出した情報に関する記述を追加しました】
SMBC日興証券とSMBC信託銀行は、口座開設の申し込みをオンラインで受け付けるサービスの情報管理にSalesforceを利用している。SMBC日興証券で閲覧可能になっていたのは、2019年12月16日から20年7月19日までに、ネット取引を行う「ダイレクトコース」用の口座開設手続きを行ったユーザーの氏名やメールアドレスなど8万1588件。このうち50件は実際に第三者に閲覧されたことを確認した。
SMBC信託銀行では、17年7月24日から20年7月18日までに同社のWebサイトから口座開設の手続きをしたユーザーの氏名、電話番号、住所、暗号化されたデビットカードの暗証番号など3万7176件が閲覧可能になっていた。このうち101件は第三者に閲覧されたことを確認した。
両社が事態に気付いたのは21年2月。外部の専門家から指摘を受け、Salesforceの設定を確認したところ、情報が外部から閲覧できることが発覚したという。どちらも2月11日に設定を変更し、以降は第三者からのアクセスを遮断している。
他社で相次いでいたSalesforce製品の設定ミスに起因する情報漏えいを受け、両社は20年12月にも点検を行っていたが、当時はミスを発見できなかったという。現在は情報が流出した可能性があるユーザーに対し、謝罪や事態の説明を行っているとしている。
Salesforceの設定ミスに起因する情報漏えいを巡っては、20年12月にPayPayが約2000万件の加盟店情報、楽天が148万件以上の個人情報に流出の可能性があると発表。21年以降もfreeeが漏えいの可能性があったことを明かしている。
関連記事
- 楽天に不正アクセス、最大148万件以上の情報流出の恐れ 営業管理用SaaSの設定にミス
楽天グループが、利用中の営業管理用SaaSに不正アクセスを受け、保管していた個人情報など最大148万6291件が流出した可能性があると発表した。営業管理用SaaSのセキュリティ設定にミスがあったことが原因という。 - イオン銀行に不正アクセス、個人情報2062件が流出 情報管理用クラウドツールで設定ミス
イオン銀行が、情報管理用クラウドツールが不正アクセスを受け、2062件の個人情報が流出したと発表。具体的な製品名は明らかにしていないが「設定にミスがあった」としている。 - PayPayのサーバに不正アクセス 加盟店情報など2000万件に流出の可能性
PayPayのサーバに不正アクセス。加盟店の名称、住所、代表者名など2007万6016件の情報が流出した恐れがある。一般ユーザーの個人情報は流出していないという。 - freee、個人情報約3000件が閲覧可能な状態に Salesforce製品の設定ミス
クラウド会計ソフトを提供するfreeeが、2898件の個人情報が外部から閲覧可能な状態になっていたと発表。「Salesforce」の設定に不備があり、第三者がアクセスできる状態になっていたという。 - 「設定を見直して」 NISC、「Salesforce」利用企業に注意喚起 楽天やPayPayの情報流出を受け
内閣サイバーセキュリティセンター(NISC)が意図せずに情報が外部から参照される可能性があるとして、米Salesforce.comの製品に関する声明を発表。設定の確認などを呼び掛けている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.