パスワードを忘れた? アカウント作成
15165498 story
情報漏洩

Salesforce利用企業の複数が設定不備から情報流出。楽天、PayPay、イオン、バンダイなど 58

ストーリー by nagazou
仕様です 部門より

Salesforceが提供しているサービスで、設定不備により顧客情報などが流出するトラブルが複数起きているようだ。内閣サイバーセキュリティセンター(NISC)も1月29日に注意喚起を求める文書を公開した(NISC[PDF])。この文章では具体的な設定項目についての詳細は触れられていないが、日経クロステックの記事によれば、

「Salesforceサイトを有効に設定(インターネットに公開している)」などの3条件がそろうと、「セールスフォースが提供するクラウドサービスに保存した情報に第三者が特定の機能を用いてアクセス可能となり、情報が漏洩する可能性がある」

としている。同じ日経クロステックの別記事によると、1日までに楽天PayPay、イオン、バンダイとBANDAI SPIRITSや 日本政府観光局(JNTO)[PDF]で、この設定不備の問題により顧客情報の流出が起きたとしている。この中の一番新しい被害と思われるバンダイの29日の発表によれば、氏名、住所、電話番号、メールアドレス、対応記録が第三者からアクセスされた可能性があるという。

なおITmediaの記事によると、NISCの担当者は現在の状況は「明らかになっているのは氷山の一角」と話している模様。Salesforce側は12月25日にこの問題に関する声明を発表しており、それによると、プラットフォームの脆弱性に起因するものではなく、公開サイト機能を利用ユーザーが適切な設定をしていないためことが原因としている(Salesforce)。

  • by Anonymous Coward on 2021年02月04日 22時28分 (#3972511)

    受け売りだけど…

    Salesforce Lightning Platformへの攻撃手法について [medium.com]」

    攻撃の被害の確認方法

    Salesforceでは、基本的にはユーザはログをみることはできない。
    ただし、Salesforce Shield(別売り)のライセンスを購入していれば、ログを自身で取得できる模様。

    ライセンスを購入していない場合、攻撃の有無や成否を確認するためには、Salesforceに問い合わせてログを取得するしか方法はない。つまり、ユーザは攻撃に対して気づく術はない点に注意する必要がある。

    ここに返信
  • 今頃なの? (スコア:2, 参考になる)

    by Anonymous Coward on 2021年02月04日 19時26分 (#3972430)

    昨年の話題だと思ってたよ

    Salesforceの設定不備に起因した外部からのアクセス事案についてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2020/12/28/060000 [hatenadiary.jp]

    海外で話題が上がりだしたのが2020年10月ぐらい
    基点となったsalesforce(lightning)の仕様変更が2015年~2016年ぐらいに適用らしい

    ここに返信
    • by renja (12958) on 2021年02月05日 8時15分 (#3972596) 日記

      公開情報からは確認出来ないサイレントアップデートで第三者アクセス許可を既定とした設定が適用された?

      --

      ψアレゲな事を真面目にやることこそアレゲだと思う。
    • by Anonymous Coward

      salesforceが声明出したのでさえ昨年末だぞ。それから約一ヶ月で行政までが動いたんだから早い方だ。
      むしろスラドで話題にならなかった方が悪いんじゃないか?

  • by Anonymous Coward on 2021年02月04日 18時44分 (#3972405)

    同じミスをやらかす会社がゴロゴロ出てきてるけど、海外では話題になってない。
    国内SIerが脆弱性のあるテンプレート使い回した案件、とかではないのだろうかね?

    ここに返信
    • by Anonymous Coward

      氷山の一角というぐらいだから、あるSIerがという話ではないようにも見える。
      設定の不備とか言ってるが、漏れたらヤバいような情報にゲストがアクセスできる設定が可能ってのは、
      ちょっと柔軟すぎやしないかw

      • by Anonymous Coward

        使ったことないから的外れかもしれないが、
        「メールマガジン配信希望のチェックボックスが初期設定でチェックされている」
        のと同じ様な設計だったとか。チェックを外すのを忘れると「何もしていないのに」となる。
        他にも「誘導型画面デザイン」で、ラベルリンクをクリックするところをボタンをクリックしてしまったとか。

        同様にして
        「ゲストがアクセスできる設定が可能」というよりも「ゲストが初期設定でアクセス可能なので、ゲストがアクセス*できない様に設定する*には追加設定する」という設計だったのでは。

        「初期設定で(何もしていないのに)公開されるとは思いませんでした。」とこの前の流出させた人も。まあ、クッキーにしても同意も何もしていないのに個人情報が収集され広告に利用されたというような問題がちょっと前までありましたし。「拒否の意思表示」をしないといけないという仕様もあるわけで。拒否をしなければ同意とみなす仕様というのも考えものですね。

  • by Anonymous Coward on 2021年02月04日 19時07分 (#3972414)

    GitHubに次いで今度はSalesforceというクラウドサービスでも情報漏洩したらしい。
    対策としてどちらも会社からのアクセスを禁止しよう。
    下っ端共が業務に影響があると騒いでいる?知らん知らん情報漏洩対策が何より重要だ。

    ここに返信
    • by Anonymous Coward on 2021年02月04日 19時25分 (#3972428)

      いっそのこと、イソターネット禁止にしたほうがいいよ
      全部FAXと電話にすれば流出もない

      • by Anonymous Coward on 2021年02月04日 19時43分 (#3972437)

        専務:
        FAXも禁止な、何度注意喚起しても誤送信事故が耐えない。
        電話も禁止。セキュリティ対策が全く成されていないものを使うなんて言語道断だ。
        宅急便も禁止とする。機密漏洩対策として宅急便の中身をチェックする部門が宛先を間違える事故が起きたからな。
        手紙も同じ理由で駄目だ。
        今後、社外に貨物や情報を出す場合は、取引先に引き取りに来てもらうことにする。

        #などと引き締めすぎると、隠れたやり取りが増えて漏洩しやすくなる罠

      • by Anonymous Coward

        あさたくセソセイに怒られますよ。
        isotarnetはそんなメディアじゃないって。

    • by Anonymous Coward on 2021年02月04日 19時54分 (#3972443)

      冗談抜きに禁止にするのが順当。
      公開可能なサービスでも、正しく設定して運用すれば安全だが、絶対に間違えないように運用し続ければ良いなんてのは根性論でしかない。
      人間はどこかで間違える。
      個人情報など機密性の高いデータを扱うシステムは、公開設定などない安全性の高い場所に置いておき、公開サービスはそれとは独立して立ち上げるべき。

      • by Anonymous Coward

        オンラインバンキングや通販サイト全否定でワラタ

        • by Anonymous Coward on 2021年02月04日 20時35分 (#3972459)

          オンラインバンキングがSalesforceで運用されることを考えたらゾッとするな。

        • by Anonymous Coward

          公開サイトと、安全に設計されたバックグラウンドのAPIの組み合わせでやれ。

          • by Anonymous Coward

            公開サイトと、安全に設計されたバックグラウンドのAPIの組み合わせでやれ。

            どんな設計しても公開サイト側がタコなら情報は漏れうる。

          • by Anonymous Coward

            バックグラウンドのAPIが安全に設計されていることは誰が保証してくれるんです?
            それが保証できるならSalesforceが正しく設定されていることも保証できるでしょ。

          • by Anonymous Coward

            APIくん味占めちゃったねえ

            • by Anonymous Coward

              通信するならABIレベルの安全性がほしい…

          • by Anonymous Coward

            データベースの設定とかネットワークの設定を間違えてなんてのもあるのでまあダメな時はダメナンジャない?

      • by Anonymous Coward

        DMZの設定間違えるかもしれないしインターネットには接続しない方がいいっすよね!

        • by Anonymous Coward

          DMZの設定間違えただけで、外部に個人情報が公開されてしまうシステムってかなりヤバくない?
          そんなの作る奴にシステムの設計を任せてはいけない。

          • by Anonymous Coward

            機械的に否定文に書き換えてるだけで具体性がないなぁ
            具体的にどういうシステムを想定してるの? 想定があるからコメントしてるんだろうし教えて欲しいなぁw

    • by Anonymous Coward

      GitHub禁止は「正気か?」と思うが、Salesforce禁止は特になんとも思わんな。
      今回の件といい普通にダメなんじゃないの?

      • by Anonymous Coward

        これ系の「○○が起きたから禁止」に上がるものは、現時点から製品開発や商品の拡販を一切行わず
        既存製品の在庫払底をもって会社を清算して廃業する前提なら一切不要な類のサービスだと思ってる

        つまり禁止を叫ぶ人の本音は「これ以上のバカな操業を止め速やかにこの会社を俺用の年金運用組織に切り替えて欲しい」だと思う

        • by Anonymous Coward

          単なる商売敵の嫌がらせじゃないのかな。

      • by Anonymous Coward

        Salesforceって会社が契約して導入する有償CRMだから、Salesforceを既に使ってる場合は、
        他の代替CRMを選定してからじゃないと、簡単に”んじゃ止めます”というのは無理じゃね?

    • by Anonymous Coward

      ゲストユーザアクセスをデフォルト許可で機能追加するようなSalesforceは使っちゃダメだな
      デフォルト無効で追加すべき機能だった

    • by Anonymous Coward

      Salesforceはそろそろ消えてくれると色々と面白くなるなとは思う

    • by Anonymous Coward

      おいおい、リンク先を読み給え

      これは、Salesforce プラットフォーム固有の脆弱性に起因するものではなく、お客様のアクセス制御の権限設定が適切に行われていない場合に発生する可能性があります。

      サービスの問題ではなく、利用者の問題だぞ。「わからないこと」を聞かないで「自分勝手な思い込み」で判断するからこうなるんだぞwww

      • by Anonymous Coward

        運用開始後にSalesforceがおもらし状態で機能を追加したんだよ

        • by Anonymous Coward

          彼は自己紹介しただけなんだ

      • by Anonymous Coward

        そうだぞ、GitHubだってサービスの問題ではなく利用者の問題だぞ。
        だがあちらのトピックを見るに、それが分からない奴が山のように居るようなんだ。

    • by Anonymous Coward

      SalesforceもGitHubだけでは無いですが
      一昔前だとオンプレでインフラ含めてゼロからサーバを構築する必要があったため最低限の知識レベル必要でしたが
      最近のクラウド系のサービスは高性能化した結果なのか「何となく判ってる」レベルでそれなりに動くレベルになってしまうんですよね
      しかもサービスによっては勝手に新機能などが追加されたりして常に勉強し続けないと追従できないなってことも

      自前で開発しない企業は開発ベンダーの知識レベルを見極めるだけでなく、開発後に適切な脆弱性診断が出来る別なベンダーを見付ける能力が必要なのでしょうが現実的にはじゃなかろうか・・・

  • by Anonymous Coward on 2021年02月05日 5時22分 (#3972567)

    同じ設定ミスが多いとなると、ミスを誘導しやすい設定画面なのかも?

    Azureの設定画面で経験したことだが
    設定を選択する画面で[保存]ボタンが出てきて、押すと保存するかどうか聞かれた、保存すると削除されるという仕様には驚いた
    もし設定を確認するだけで間違えて保存すると消えていたw
    そういうトラップが至る所にあるから怖い

    ここに返信
    • by Anonymous Coward

      それは翻訳の問題かもね。
      何かのミスでボタンの日本語訳を間違えたとか。

      # 自分は英語UIで使う派。

  • by Anonymous Coward on 2021年02月04日 19時16分 (#3972422)

    流出、漏洩のお詫びは500円/人で
    この国ではいいことになっているんだし
    お詫びに
    楽天:500ポイント付与
    PayPay:今月のお支払いから500円引き
    バンダイとBANDAI SPIRITS:コンビニ店頭品500円相当クーポン
    日本政府観光局(JNTO):500円取りに来てください
    とかでいいわけで

    ログイン後のサイトから飛ぶリンク貼ってるならまだマシですが
    メール案内で他社の外部ドメインに
    自社顧客の情報入れさせる案内出している時点で
    スパムとどう見分けて利用させる気なんだよ
    って思っちゃいますです

    え?どの会社のことかって?
    おっとこんな時間に誰か来たようだ。。。

    ここに返信
  • by Anonymous Coward on 2021年02月04日 19時34分 (#3972434)

    前に楽天の件があったときのヤフーニュースのコメントにあったこの意見、
    キャプチャして取っといたんだけど

    http://up-img.net/img.php?mode=jpg&id=16251 [up-img.net]

    > Experience Cloud は簡易的なコミュニティーサイトを作成するサービスですが、
    > ゲストユーザアクセスを許可していると、誰でもデータを閲覧可能な状態になってしまいます

    またこれじゃないの?

    ここに返信
  • by Anonymous Coward on 2021年02月04日 21時05分 (#3972475)

    Salesforce利用企業の複数が設定不備から情報流出。

    ・複数のSalesforce利用企業の情報が設定不備により流出。
    ・Salesforceの設定不備により複数の利用企業の情報が流出。
    deny?

    ここに返信
    • by Anonymous Coward

      そうだね、このままだと、Salesforceに問題があるのではなく、利用企業に有るように解釈できる。

      あ、Salesforce使っている時点で問題ありかな?

      #ハムスター飼いたいな。

typodupeerror

人生unstable -- あるハッカー

読み込み中...