orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

最近よくきく「クラウド型営業管理システムのセキュリティー設定の不備」

f:id:orangeitems:20210317181849j:plain

 

はじめに

ここ数か月で「クラウド型営業管理システムのセキュリティー設定の不備」というフレーズで情報漏洩が相次いでいるのを知っていまして、まとめてみます。

Salesforce設定の不備、というのも併せて耳にしますが、企業によってはそう言い切っていないリリースもあります。

ただ、共通するのは、クラウドのSaaS型のシステムで、物理的に社外に個人情報を保管していて、それが設定不備により第三者に公開された状態になっていて、流出するというパターンはどれもこれも同じです。

事例を見ていきます。

 

事例

JICA(2021/3/17)

www.itmedia.co.jp

国際協力機構(JICA)は3月16日、同団体が運営するキャリア情報サイト「PARTNER」に不正アクセスがあり、個人情報8418件が流出したと発表した。情報の管理に使っていたCRM(顧客関係管理)ツール「Salesforce」の設定にミスがあったという。

 

SMBC日興証券・信託銀行(2021/3/9)

www.itmedia.co.jp

 SMBC日興証券とSMBC信託銀行は3月8日、合計11万8764件の個人情報が外部から閲覧可能な状態になっていたと発表した。どちらも情報の管理に使っていたCRM(顧客関係管理)ツール「Salesforce」の権限設定に不備があったという。このうち151件は実際に流出を確認した。

 

ANA(2021/2/25)

www.nikkei.com

全日本空輸(ANA)は24日、機体工場見学の申し込みサイトと法人向けサービスの一部で使用するクラウド型情報管理システムにおいて、顧客情報が流出する恐れがあったことを明らかにした。同社は詳細な原因を明らかにしていないが、セールスフォース・ドットコムが手掛けるクラウドサービスの「設定不備」に起因した情報流出とみられる。

 

イオン銀行(2021/2/24)

www.itmedia.co.jp

 イオン銀行は2月22日、同社が提供する「来店予約・オンライン相談サービス」で使っていた情報管理用クラウドツールが不正アクセスを受け、保存していた2062件の個人情報が流出したと発表した。同行は具体的な製品名を明らかにしていないが「情報管理に使っていたクラウド型システムの設定にミスがあった」という。

japan.cnet.com

(中略)

 他社で相次いでいたCRM(顧客関係管理)ツール「Salesforce」製品の設定ミスによる情報漏えいを受け、2020年12月から独自に調査を実施。21年1月29日までに何者かに情報を閲覧されていたことが判明した。

 

freee(2021/2/10)

www.itmedia.co.jp

 

クラウド会計ソフトを提供するfreeeは2月10日、メールアドレスなど2898件の個人情報が外部から閲覧可能な状態になっていたと発表した。問い合わせの管理に使っていたCRM(顧客関係管理)ツール「Salesforce」の権限設定に不備があり、第三者がアクセスできる状態になっていたという。

 

バンダイ・政府観光局(20201/2/2)

www.nikkei.com

セールスフォース・ドットコムが提供するクラウドサービスの「設定不備」に起因する不具合が続々と明らかになっている。1日までに、楽天やPayPay(ペイペイ)、イオンに加えて、バンダイや日本政府観光局(JNTO)でも顧客情報などの流出の可能性が明らかになった。内閣サイバーセキュリティセンター(NISC)がこの問題で注意喚起を出し、セールスフォース自身もお知らせを掲載するなど周知が広まるなか、今後も被害を公表する企業が続く可能性がある。

 

楽天(2020/12/25)

www.itmedia.co.jp

 楽天、楽天カード、楽天Edyは、社外のクラウド型営業管理システムに、外部からアクセスがあったことを告知した。原因はセキュリティ設定の不備。

 楽天では、楽天市場の法人向け資料請求者や店舗情報にアクセスされた可能性がある。期間は2016年1月15日から2020年11月24日まで。アクセスされた可能性のあったのは最大138万1735件、うち実際にアクセスが確認されたのが208件。

 

PayPay(2020/12/7)

japan.cnet.com

PayPayは12月7日、加盟店情報について外部からの不正アクセスが確認されたと発表した。
 同社広報部によると、PayPayが加盟店情報を管理する外部のCRMサービスにて、アクセス権限の設定に不備があったという。12月1日にヤフーから不備の指摘を受けて調査したところ、11月28日にブラジルから特定できないアクセスを1件確認したとしている。

 アクセスがあったのは、加盟店に関する営業情報。レコードベースで最大2007万6016件が影響を受けた可能性があるという。なお、ユーザー情報の管理システムとは切り離されており、ユーザーへの影響はないとしている。

 

国内の状況

この問題、「設定の不備」ですが、国内の状況です。

 

www.itmedia.co.jp

 

「Salesforceの設定不備に注意して」――内閣サイバーセキュリティセンター(NISC)が、外部から不正アクセスされるリスクがあるとして、米Salesforce.comの製品に関するこんな声明文を発表した。CRM(顧客関係管理)ツール「Salesforce」を利用する楽天とPayPay社で不正アクセスが相次いだことを受けての対応だが、NISCが特定の製品に対して注意喚起するのは異例だ。

 

www.salesforce.com

背景
当社では、アクセス制御の権限設定について、認証されていないユーザ(以下「ゲストユーザ」)に対して意図した以上の情報にアクセスを許可してしまう可能性があることに懸念を持たれているお客様がいらっしゃることを認識しております。この潜在的な問題は、コミュニティ、Salesforce サイト(旧 Force.com サイト)、および Site.comのサイト上に構築する公開サイト機能をご利用のお客様にのみ発生する事象です。

これは、Salesforce プラットフォーム固有の脆弱性に起因するものではなく、お客様のアクセス制御の権限設定が適切に行われていない場合に発生する可能性があります。

 

www.nikkei.com

顧客情報管理ソフトウエア大手、米セールスフォース・ドットコムの利用企業で情報流出が止まらない。楽天に続き、今年に入ってイオンなどでも被害が発覚。セールスフォースは「利用企業の設定不備が原因」との立場だが、ユーザー側からは丁寧な情報発信を求める声が高まる。被害の連鎖を防ぐためにも、情報の周知が欠かせない。

 

やっぱりですけど、社外に、機微な情報は置かない方が良いと思いますね。

個人メールやチャットなどデータベース化されていない乱雑な情報はともかく、より精緻に情報として整理された営業情報などは、むしろクラウド利用の場合でも、IaaSなど、より限られた形で運用すべきじゃないかと思います。

そりゃあ、SaaSは便利ですけど、便利だからと言ってフル活用してたら、SaaSの基盤側に設定ミスしやすい項目があり、管理者が誤って使ってましたー、というのは今回に限らずよくあるパターンですね。

下記は2013年の話。

 

www.itmedia.co.jp

Googleが提供する掲示板/メーリングリストサービス「Googleグループ」で、環境省が機密情報を誰でも見られる状態で共有していたことが分かり、省内の規定違反に当たるとして問題になった。Googleグループはデフォルトで投稿内容がネット全体に公開される仕様になっており、現在も公開を意図していないとみられる情報が散見される状態だ。企業などが情報流出などのリスクを負う恐れもあるとして、セキュリティ専門企業が注意を呼び掛けている。

 

上記は、誰でも無料で使えるメーリングリスト、ということで使っていたら、実は誰でもその中身が見られるようになってました、ということで当時大問題になった記憶があります。

ベタですけど、やっぱりクラウドを使う場合でも、機微な情報を扱うのであれば、ちゃんとサーバーを立ててソフトウェアを入れ、限られたストレージとアクセス方法で使うべきだ、なんて思うのです。