Salesforce利用企業の複数が設定不備から情報流出。楽天、PayPay、イオン、バンダイなど 58
ストーリー by nagazou
仕様です 部門より
仕様です 部門より
Salesforceが提供しているサービスで、設定不備により顧客情報などが流出するトラブルが複数起きているようだ。内閣サイバーセキュリティセンター(NISC)も1月29日に注意喚起を求める文書を公開した(NISC[PDF])。この文章では具体的な設定項目についての詳細は触れられていないが、日経クロステックの記事によれば、
「Salesforceサイトを有効に設定(インターネットに公開している)」などの3条件がそろうと、「セールスフォースが提供するクラウドサービスに保存した情報に第三者が特定の機能を用いてアクセス可能となり、情報が漏洩する可能性がある」
としている。同じ日経クロステックの別記事によると、1日までに楽天やPayPay、イオン、バンダイとBANDAI SPIRITSや 日本政府観光局(JNTO)[PDF]で、この設定不備の問題により顧客情報の流出が起きたとしている。この中の一番新しい被害と思われるバンダイの29日の発表によれば、氏名、住所、電話番号、メールアドレス、対応記録が第三者からアクセスされた可能性があるという。
なおITmediaの記事によると、NISCの担当者は現在の状況は「明らかになっているのは氷山の一角」と話している模様。Salesforce側は12月25日にこの問題に関する声明を発表しており、それによると、プラットフォームの脆弱性に起因するものではなく、公開サイト機能を利用ユーザーが適切な設定をしていないためことが原因としている(Salesforce)。
攻撃を受けたことがわからない「仕様」 (スコア:5, 参考になる)
受け売りだけど…
「Salesforce Lightning Platformへの攻撃手法について [medium.com]」
攻撃の被害の確認方法
Salesforceでは、基本的にはユーザはログをみることはできない。
ただし、Salesforce Shield(別売り)のライセンスを購入していれば、ログを自身で取得できる模様。
ライセンスを購入していない場合、攻撃の有無や成否を確認するためには、Salesforceに問い合わせてログを取得するしか方法はない。つまり、ユーザは攻撃に対して気づく術はない点に注意する必要がある。
Re: (スコア:0)
なかなかひどいな…
今頃なの? (スコア:2, 参考になる)
昨年の話題だと思ってたよ
Salesforceの設定不備に起因した外部からのアクセス事案についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2020/12/28/060000 [hatenadiary.jp]
海外で話題が上がりだしたのが2020年10月ぐらい
基点となったsalesforce(lightning)の仕様変更が2015年~2016年ぐらいに適用らしい
Re:今頃なの? (スコア:1)
公開情報からは確認出来ないサイレントアップデートで第三者アクセス許可を既定とした設定が適用された?
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0)
salesforceが声明出したのでさえ昨年末だぞ。それから約一ヶ月で行政までが動いたんだから早い方だ。
むしろスラドで話題にならなかった方が悪いんじゃないか?
個別事案なのかな (スコア:1)
同じミスをやらかす会社がゴロゴロ出てきてるけど、海外では話題になってない。
国内SIerが脆弱性のあるテンプレート使い回した案件、とかではないのだろうかね?
Re: (スコア:0)
氷山の一角というぐらいだから、あるSIerがという話ではないようにも見える。
設定の不備とか言ってるが、漏れたらヤバいような情報にゲストがアクセスできる設定が可能ってのは、
ちょっと柔軟すぎやしないかw
Re: (スコア:0)
使ったことないから的外れかもしれないが、
「メールマガジン配信希望のチェックボックスが初期設定でチェックされている」
のと同じ様な設計だったとか。チェックを外すのを忘れると「何もしていないのに」となる。
他にも「誘導型画面デザイン」で、ラベルリンクをクリックするところをボタンをクリックしてしまったとか。
同様にして
「ゲストがアクセスできる設定が可能」というよりも「ゲストが初期設定でアクセス可能なので、ゲストがアクセス*できない様に設定する*には追加設定する」という設計だったのでは。
「初期設定で(何もしていないのに)公開されるとは思いませんでした。」とこの前の流出させた人も。まあ、クッキーにしても同意も何もしていないのに個人情報が収集され広告に利用されたというような問題がちょっと前までありましたし。「拒否の意思表示」をしないといけないという仕様もあるわけで。拒否をしなければ同意とみなす仕様というのも考えものですね。
Salesforceを使用禁止にしよう (スコア:1)
GitHubに次いで今度はSalesforceというクラウドサービスでも情報漏洩したらしい。
対策としてどちらも会社からのアクセスを禁止しよう。
下っ端共が業務に影響があると騒いでいる?知らん知らん情報漏洩対策が何より重要だ。
Re:Salesforceを使用禁止にしよう (スコア:1)
いっそのこと、イソターネット禁止にしたほうがいいよ
全部FAXと電話にすれば流出もない
Re:Salesforceを使用禁止にしよう (スコア:1)
専務:
FAXも禁止な、何度注意喚起しても誤送信事故が耐えない。
電話も禁止。セキュリティ対策が全く成されていないものを使うなんて言語道断だ。
宅急便も禁止とする。機密漏洩対策として宅急便の中身をチェックする部門が宛先を間違える事故が起きたからな。
手紙も同じ理由で駄目だ。
今後、社外に貨物や情報を出す場合は、取引先に引き取りに来てもらうことにする。
#などと引き締めすぎると、隠れたやり取りが増えて漏洩しやすくなる罠
Re:Salesforceを使用禁止にしよう (スコア:1)
専務:
コロナ下では感染を避けるため、みんな在宅勤務!
-- う~ん、バッドノウハウ?
Re: (スコア:0)
専務!社外の方に貨物や情報があることはどうやってお伝えしましょうか?
Re: (スコア:0)
旗でも屋上に立てておきなさい。
そう、赤い旗や黄・黒の虎縞旗や・・・
Re: (スコア:0)
第三者から丸見えなのだが。
江戸中期から明治期の米相場などの旗振り通信ですら暗号化していたのだがね。
Re: (スコア:0)
くるっぽー
バサバサバサバサ
Re:Salesforceを使用禁止にしよう (スコア:1)
Re: (スコア:0)
あさたくセソセイに怒られますよ。
isotarnetはそんなメディアじゃないって。
Re:Salesforceを使用禁止にしよう (スコア:1)
冗談抜きに禁止にするのが順当。
公開可能なサービスでも、正しく設定して運用すれば安全だが、絶対に間違えないように運用し続ければ良いなんてのは根性論でしかない。
人間はどこかで間違える。
個人情報など機密性の高いデータを扱うシステムは、公開設定などない安全性の高い場所に置いておき、公開サービスはそれとは独立して立ち上げるべき。
Re: (スコア:0)
オンラインバンキングや通販サイト全否定でワラタ
Re:Salesforceを使用禁止にしよう (スコア:1)
オンラインバンキングがSalesforceで運用されることを考えたらゾッとするな。
Re: (スコア:0)
公開サイトと、安全に設計されたバックグラウンドのAPIの組み合わせでやれ。
Re: (スコア:0)
公開サイトと、安全に設計されたバックグラウンドのAPIの組み合わせでやれ。
どんな設計しても公開サイト側がタコなら情報は漏れうる。
Re: (スコア:0)
バックグラウンドのAPIが安全に設計されていることは誰が保証してくれるんです?
それが保証できるならSalesforceが正しく設定されていることも保証できるでしょ。
Re: (スコア:0)
APIくん味占めちゃったねえ
Re: (スコア:0)
通信するならABIレベルの安全性がほしい…
Re: (スコア:0)
データベースの設定とかネットワークの設定を間違えてなんてのもあるのでまあダメな時はダメナンジャない?
Re: (スコア:0)
DMZの設定間違えるかもしれないしインターネットには接続しない方がいいっすよね!
Re: (スコア:0)
DMZの設定間違えただけで、外部に個人情報が公開されてしまうシステムってかなりヤバくない?
そんなの作る奴にシステムの設計を任せてはいけない。
Re: (スコア:0)
機械的に否定文に書き換えてるだけで具体性がないなぁ
具体的にどういうシステムを想定してるの? 想定があるからコメントしてるんだろうし教えて欲しいなぁw
Re: (スコア:0)
GitHub禁止は「正気か?」と思うが、Salesforce禁止は特になんとも思わんな。
今回の件といい普通にダメなんじゃないの?
Re: (スコア:0)
これ系の「○○が起きたから禁止」に上がるものは、現時点から製品開発や商品の拡販を一切行わず
既存製品の在庫払底をもって会社を清算して廃業する前提なら一切不要な類のサービスだと思ってる
つまり禁止を叫ぶ人の本音は「これ以上のバカな操業を止め速やかにこの会社を俺用の年金運用組織に切り替えて欲しい」だと思う
Re: (スコア:0)
単なる商売敵の嫌がらせじゃないのかな。
Re: (スコア:0)
Salesforceって会社が契約して導入する有償CRMだから、Salesforceを既に使ってる場合は、
他の代替CRMを選定してからじゃないと、簡単に”んじゃ止めます”というのは無理じゃね?
Re: (スコア:0)
ゲストユーザアクセスをデフォルト許可で機能追加するようなSalesforceは使っちゃダメだな
デフォルト無効で追加すべき機能だった
Re: (スコア:0)
Salesforceはそろそろ消えてくれると色々と面白くなるなとは思う
Re: (スコア:0)
おいおい、リンク先を読み給え
これは、Salesforce プラットフォーム固有の脆弱性に起因するものではなく、お客様のアクセス制御の権限設定が適切に行われていない場合に発生する可能性があります。
サービスの問題ではなく、利用者の問題だぞ。「わからないこと」を聞かないで「自分勝手な思い込み」で判断するからこうなるんだぞwww
Re: (スコア:0)
運用開始後にSalesforceがおもらし状態で機能を追加したんだよ
Re: (スコア:0)
彼は自己紹介しただけなんだ
Re: (スコア:0)
そうだぞ、GitHubだってサービスの問題ではなく利用者の問題だぞ。
だがあちらのトピックを見るに、それが分からない奴が山のように居るようなんだ。
Re: (スコア:0)
SalesforceもGitHubだけでは無いですが
一昔前だとオンプレでインフラ含めてゼロからサーバを構築する必要があったため最低限の知識レベル必要でしたが
最近のクラウド系のサービスは高性能化した結果なのか「何となく判ってる」レベルでそれなりに動くレベルになってしまうんですよね
しかもサービスによっては勝手に新機能などが追加されたりして常に勉強し続けないと追従できないなってことも
自前で開発しない企業は開発ベンダーの知識レベルを見極めるだけでなく、開発後に適切な脆弱性診断が出来る別なベンダーを見付ける能力が必要なのでしょうが現実的にはじゃなかろうか・・・
設定ミス?ミスを誘導しやすいUI? (スコア:1)
同じ設定ミスが多いとなると、ミスを誘導しやすい設定画面なのかも?
Azureの設定画面で経験したことだが
設定を選択する画面で[保存]ボタンが出てきて、押すと保存するかどうか聞かれた、保存すると削除されるという仕様には驚いた
もし設定を確認するだけで間違えて保存すると消えていたw
そういうトラップが至る所にあるから怖い
Re: (スコア:0)
それは翻訳の問題かもね。
何かのミスでボタンの日本語訳を間違えたとか。
# 自分は英語UIで使う派。
漏れる前提でやっちまってる可能性もないかな (スコア:0)
流出、漏洩のお詫びは500円/人で
この国ではいいことになっているんだし
お詫びに
楽天:500ポイント付与
PayPay:今月のお支払いから500円引き
バンダイとBANDAI SPIRITS:コンビニ店頭品500円相当クーポン
日本政府観光局(JNTO):500円取りに来てください
とかでいいわけで
ログイン後のサイトから飛ぶリンク貼ってるならまだマシですが
メール案内で他社の外部ドメインに
自社顧客の情報入れさせる案内出している時点で
スパムとどう見分けて利用させる気なんだよ
って思っちゃいますです
え?どの会社のことかって?
おっとこんな時間に誰か来たようだ。。。
Re:漏れる前提でやっちまってる可能性もないかな (スコア:2, すばらしい洞察)
最近、500円もらった人いる?
Re: (スコア:0)
桐無く、phishingメールがやってきます。
Re: (スコア:0)
昔は、500円もくれたんだよ。
今なんか、お詫びメールでおしまい。
昔はよかった、という話かな!?
Experience Cloud? (スコア:0)
前に楽天の件があったときのヤフーニュースのコメントにあったこの意見、
キャプチャして取っといたんだけど
http://up-img.net/img.php?mode=jpg&id=16251 [up-img.net]
> Experience Cloud は簡易的なコミュニティーサイトを作成するサービスですが、
> ゲストユーザアクセスを許可していると、誰でもデータを閲覧可能な状態になってしまいます
またこれじゃないの?
ニホンゴ-オカシイ (スコア:0)
Salesforce利用企業の複数が設定不備から情報流出。
・複数のSalesforce利用企業の情報が設定不備により流出。
・Salesforceの設定不備により複数の利用企業の情報が流出。
deny?
Re: (スコア:0)
そうだね、このままだと、Salesforceに問題があるのではなく、利用企業に有るように解釈できる。
あ、Salesforce使っている時点で問題ありかな?
#ハムスター飼いたいな。