Salesforceでの設定不備問題で、両備システムズの自治体向けサービスに不正アクセス 23
ストーリー by nagazou
不正アクセス 部門より
不正アクセス 部門より
Salesforce関連の設定不備による情報流出が相次いでいる問題で、両備システムズが第三者による不正アクセスがあったと発表した(両備システムズ 2021.02.12、両備システムズ 2021.02.15)。
対象となったのは同社が提供している自治体向けの健診・検診インターネット予約システム「Web住民けんしん予約」、住民生活総合支援アプリ「i-Blend」、緊急通報システム「Net119」の三つ。この3システムを導入しているのは71団体に上るという。2月12日の19時点でこの71団体様のうち13の団体から第三者からの不正アクセスがあったと発表しているという(毎日新聞、Security NEXT、ScanNetSecurity、NHK)。
同社では2月1日中にシステムの設定変更を行ったとしている。日経新聞によればトラブルの発端は、Salesforceが2016年1月に投入したUIに含まれる「Lightning Experience」にあった可能性が高いとしている(日経新聞)。
対象となったのは同社が提供している自治体向けの健診・検診インターネット予約システム「Web住民けんしん予約」、住民生活総合支援アプリ「i-Blend」、緊急通報システム「Net119」の三つ。この3システムを導入しているのは71団体に上るという。2月12日の19時点でこの71団体様のうち13の団体から第三者からの不正アクセスがあったと発表しているという(毎日新聞、Security NEXT、ScanNetSecurity、NHK)。
同社では2月1日中にシステムの設定変更を行ったとしている。日経新聞によればトラブルの発端は、Salesforceが2016年1月に投入したUIに含まれる「Lightning Experience」にあった可能性が高いとしている(日経新聞)。
両備とは(余談) (スコア:1)
こちらの両備は備前・備中。
ところが、工具メーカーのリョービは備中・備後。
ややこしいので統一してほしいところ。
♪きょうびの釣りはリョービ (スコア:1)
#釣られてみよう
リョービのほうは、菱三とか菱電とかそっちの仲間かな。
でも、両備の他はあるのか?〇両肥、〇両筑、〇両越、〇両羽、なんだ結構あるなぁ。
〇両総、これもアリ。×両江、やっぱりくっついてないとダメ?
Re:♪きょうびの釣りはリョービ (スコア:1)
丹波国を分割した時は前・中・後ルールとは別ルールが有効だったらしく
重要性の低い(都から遠方と同義)部分を丹後国と名づけたみたいな例は他にあり?
// 舊國名で、本州ではいちばん遠方の余り物を陸奥國と呼ぶのは該当する?
Re:♪きょうびの釣りはリョービ (スコア:1)
Wikipediaによれば、リョービも菱備と両備の両方の意味があるらしい。
両肥、両筑、両羽、両総はそれぞれ、前後か上下の2つしかないのでよいですが、
両越はなあ。Wikipediaには「越国3州(越前・越中・越後)のうち任意の2州。」と書いてあるけど、越前は残り2ヶ国と接してないから……
あと、明治になって3ヶ国に別れた両陸も言わない。
一方、両丹は言うみたいですね。
Re: (スコア:0)
当社は、2000年9月30日に釣具事業を株式会社上州屋へ譲渡いたしました。したがって、当社では現在釣具関係の事業は一切行っておりません [ryobi-group.co.jp]
ビジネスチャンス (スコア:0)
ここまで設定不備が多発するって、もはや設定をチェックするだけの サービス とかでも金が貰えるんじゃないかな。
Re:ビジネスチャンス (スコア:1)
Salesforceは知らんけど、用途によって設定は様々で、アプリの詳細が
わからんと設定の変えようがなかったりするんじゃね?
「この機能は使ってますか?」「わかりません」→ じゃあムリです。
「じゃあ、この機能は?」「使ってません」
「じゃあOFFNいしときますね」→ 実は使っていて不具合発生
そういうリスクがあるから、誰が作ったかも分からんアプリの
設定なんてやりたくないよ。
おふとぴ (was Re:ビジネスチャンス) (スコア:2)
SE では、この機能はおっふん♡しておきますね
客 お…おっふん?
SE はい、おっふん♡
なお、このシステムのドキュメントには「カスタマイズ」の言葉はなく
「御社色に染めて♡」と記されているという。
死して屍 拾う者なし
Re: (スコア:0)
経験者ですけどまさにそれですよ。
なんの設定がどこに影響するか確認するのも一苦労。
うかつに権限絞ると思わぬところで落ちる。
Salesforceに限った話じゃないけど、この手のシステムはカスタマイズは最小限で運用するべきだが、日本じゃ「業務をシステムに寄せる」意識がほとんどないからガリガリにカスタマイズするせいで余計機能と設定とが入り組んで九龍城
Salesforceの不備ってことはないの? (スコア:0)
デフォルトがなんでもできる方向に倒されていると、後から権限を絞るのは難儀するし、抜けも出ますよね。
システムを売るほうとしてはあれも出来ます,これも出来ますって言いたいから、DefaultでONにした状態で展開しているってことはないですかね?
Re: (スコア:0)
仮にそうだとしても、適切な権限設定は開発を請け負った業者の仕事なんだから、
「Salesforceの不備」ではないよ。Salesforce関係なく、デフォルト設定なんて
信用しちゃいけないのは鉄則だし。
(一般的なチェックリストくらいは、あると嬉しいけど。)
自動車に制限速度80kmのリミッターがついてなくて、時速81kmで事故を起こそうと
時速40kmで事故を起こそうと、それはドライバーの責任。
ブレーキが壊れてるとか、アクセルが戻らなくなるとかならメーカーの責任かもしれないが。
Re: (スコア:0)
「あれは情報漏洩を誘導しているようなものですよ、ウチはそんなことはしませんよ」って売り込めるから競合もチャンスかも
Re: (スコア:0)
大真面目に人手による設定チェックの外部サービス受けたいと思っているシステム管理者は多いと思う。
決裁権限持っている人には(被害出る前には)少ないだろうからその予算を申請し説得するだけの資料を用意するだけのサービスでも金がもらえそう。
それってセキュリティコンサルティング系でやっているサービスか。
Re: (スコア:0)
そしてマイナンバーのごとく [mag2.com]契約で禁じても再委託されて情報漏洩するとw
Re: (スコア:0)
せっかくのクラウド()サービスなんだしSalesforce側で定期的に不備やリスクのある設定を顧客に通知するとかすればいいのにと思っているのですが、難しいんですかね?
ひょっとしてSalesforce自身もSalesforceを理解していないとか
Re: (スコア:0)
使ったことないから見当違いかもしれないけれど、Salesforceってアプリストアみたいなもので、個別のアプリについて詳細は把握していないんじゃないの?
Re: (スコア:0)
まず「あえて」そうしているか「設定漏れ」でそうなっているかの判断はSalesforce側での判断はかなり難しいだろうと思う。
その上で怪しいものはすべて通知しろというのであれば、
例えば広域で絞ったアクセスを
ユーザやレコード単位では許可しているなど、広域の設定だけ見て「リスクあり」かどうかの判断は難しい。
広域の設定だけ見て「リスクはない」という結果を出してしまうと本来与えるべきではない安心を与えてしまいかねない。
といった問題があるかなと思いました。
71団体様 (スコア:0)
> この3システムを導入しているのは71団体に上るという。2月12日の19時点でこの71団体様のうち13の団体から第三者からの不正アクセスがあったと発表しているという
なんで1箇所だけ様付けなんだよ。
Re: (スコア:0)
両備システムズのニュースリリース
> 3システムの導入は71団体となります。(複数導入いただいている場合は1団体としてカウント)
> 71団体様のうち、13の団体様が外部の第三者による意図しない情報に対するアクセスが確認されたことを、ホームページにて公開されております。(2月12日19:00時点)
著作権の侵害にならないように?、気分で記事の一部を省略しているからな。
このケースでは省略で内容が変わらないだけマシ
# 省略で内容が別物になった例
https://srad.jp/comment/3980049 [srad.jp]
Re: (スコア:0)
「13の団体様」は直してるのに
「不正アクセス」と言わない方がいい (スコア:0)
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/06.html [soumu.go.jp]
一連の設定不備事案では企業側の錯誤によって第三者にアクセス権が付与されているので形式上は不正アクセス禁止法 [e-gov.go.jp]で定義されている「不正アクセス行為」には該当しない。
両備システムズの発表でも「外部の第三者による意図しない情報に対するアクセス」と書いてあり、不正アクセスという言葉は使っていない。
……って関連リンクのPayPayの#3938057 [srad.jp]でも同じこと言ってたか。
// こういうのってIDでタレコミ段階で指摘すれば気付いてくれんのかな
Re: (スコア:0)
「ミスをした企業が悪い。ミスだろうがなんだろうが、システム的にアクセス出来たら不正アクセスじゃない」なんて15年前のACCS事件で完全に否定されてるだろ
https://srad.jp/story/05/03/25/0423214/ [srad.jp]
Re: (スコア:0)
「推敲にかける時間は10分以内」と豪語していた奴の後釜だぞ。
多少の誤字脱字は許容範囲内と割り切ってるから指摘するだけ無駄。