パスワードを忘れた? アカウント作成
15209592 story
情報漏洩

Salesforceでの設定不備問題で、両備システムズの自治体向けサービスに不正アクセス 22

ストーリー by nagazou
不正アクセス 部門より
Salesforce関連の設定不備による情報流出が相次いでいる問題で、両備システムズが第三者による不正アクセスがあったと発表した(両備システムズ 2021.02.12両備システムズ 2021.02.15)。

対象となったのは同社が提供している自治体向けの健診・検診インターネット予約システム「Web住民けんしん予約」、住民生活総合支援アプリ「i-Blend」、緊急通報システム「Net119」の三つ。この3システムを導入しているのは71団体に上るという。2月12日の19時点でこの71団体様のうち13の団体から第三者からの不正アクセスがあったと発表しているという(毎日新聞Security NEXTScanNetSecurityNHK)。

同社では2月1日中にシステムの設定変更を行ったとしている。日経新聞によればトラブルの発端は、Salesforceが2016年1月に投入したUIに含まれる「Lightning Experience」にあった可能性が高いとしている(日経新聞)。
  • by nim (10479) on 2021年02月19日 10時31分 (#3980944)

    こちらの両備は備前・備中。
    ところが、工具メーカーのリョービは備中・備後。

    ややこしいので統一してほしいところ。

    ここに返信
  • by Anonymous Coward on 2021年02月19日 6時57分 (#3980848)

    ここまで設定不備が多発するって、もはや設定をチェックするだけの サービス とかでも金が貰えるんじゃないかな。

    ここに返信
    • by Anonymous Coward on 2021年02月19日 9時16分 (#3980902)

      Salesforceは知らんけど、用途によって設定は様々で、アプリの詳細が
      わからんと設定の変えようがなかったりするんじゃね?

      「この機能は使ってますか?」「わかりません」→ じゃあムリです。

      「じゃあ、この機能は?」「使ってません」
      「じゃあOFFNいしときますね」→ 実は使っていて不具合発生

      そういうリスクがあるから、誰が作ったかも分からんアプリの
      設定なんてやりたくないよ。

      • SE では、この機能はおっふん♡しておきますね
        客 お…おっふん?
        SE はい、おっふん♡

        なお、このシステムのドキュメントには「カスタマイズ」の言葉はなく
        「御社色に染めて♡」と記されているという。

        --
        死して屍 拾う者なし
      • by Anonymous Coward

        経験者ですけどまさにそれですよ。
        なんの設定がどこに影響するか確認するのも一苦労。
        うかつに権限絞ると思わぬところで落ちる。
        Salesforceに限った話じゃないけど、この手のシステムはカスタマイズは最小限で運用するべきだが、日本じゃ「業務をシステムに寄せる」意識がほとんどないからガリガリにカスタマイズするせいで余計機能と設定とが入り組んで九龍城

      • デフォルトがなんでもできる方向に倒されていると、後から権限を絞るのは難儀するし、抜けも出ますよね。
        システムを売るほうとしてはあれも出来ます,これも出来ますって言いたいから、DefaultでONにした状態で展開しているってことはないですかね?

        • by Anonymous Coward

          仮にそうだとしても、適切な権限設定は開発を請け負った業者の仕事なんだから、
          「Salesforceの不備」ではないよ。Salesforce関係なく、デフォルト設定なんて
          信用しちゃいけないのは鉄則だし。
          (一般的なチェックリストくらいは、あると嬉しいけど。)

          自動車に制限速度80kmのリミッターがついてなくて、時速81kmで事故を起こそうと
          時速40kmで事故を起こそうと、それはドライバーの責任。
          ブレーキが壊れてるとか、アクセルが戻らなくなるとかならメーカーの責任かもしれないが。

    • by Anonymous Coward

      「あれは情報漏洩を誘導しているようなものですよ、ウチはそんなことはしませんよ」って売り込めるから競合もチャンスかも

    • by Anonymous Coward

      大真面目に人手による設定チェックの外部サービス受けたいと思っているシステム管理者は多いと思う。
      決裁権限持っている人には(被害出る前には)少ないだろうからその予算を申請し説得するだけの資料を用意するだけのサービスでも金がもらえそう。

      それってセキュリティコンサルティング系でやっているサービスか。

    • by Anonymous Coward

      そしてマイナンバーのごとく [mag2.com]契約で禁じても再委託されて情報漏洩するとw

    • by Anonymous Coward

      せっかくのクラウド()サービスなんだしSalesforce側で定期的に不備やリスクのある設定を顧客に通知するとかすればいいのにと思っているのですが、難しいんですかね?

      ひょっとしてSalesforce自身もSalesforceを理解していないとか

      • by Anonymous Coward

        使ったことないから見当違いかもしれないけれど、Salesforceってアプリストアみたいなもので、個別のアプリについて詳細は把握していないんじゃないの?

      • by Anonymous Coward

        まず「あえて」そうしているか「設定漏れ」でそうなっているかの判断はSalesforce側での判断はかなり難しいだろうと思う。

        その上で怪しいものはすべて通知しろというのであれば、
        例えば広域で絞ったアクセスを
        ユーザやレコード単位では許可しているなど、広域の設定だけ見て「リスクあり」かどうかの判断は難しい。
        広域の設定だけ見て「リスクはない」という結果を出してしまうと本来与えるべきではない安心を与えてしまいかねない。

        といった問題があるかなと思いました。

  • by Anonymous Coward on 2021年02月19日 7時07分 (#3980850)

    > この3システムを導入しているのは71団体に上るという。2月12日の19時点でこの71団体様のうち13の団体から第三者からの不正アクセスがあったと発表しているという

    なんで1箇所だけ様付けなんだよ。

    ここに返信
    • by Anonymous Coward

      両備システムズのニュースリリース
      > 3システムの導入は71団体となります。(複数導入いただいている場合は1団体としてカウント) 
      > 71団体様のうち、13の団体様が外部の第三者による意図しない情報に対するアクセスが確認されたことを、ホームページにて公開されております。(2月12日19:00時点)

      著作権の侵害にならないように?、気分で記事の一部を省略しているからな。
      このケースでは省略で内容が変わらないだけマシ

      # 省略で内容が別物になった例
      https://srad.jp/comment/3980049 [srad.jp]

      • by Anonymous Coward

        「13の団体様」は直してるのに

  • by Anonymous Coward on 2021年02月19日 10時05分 (#3980929)

    不正アクセスとは、本来アクセス権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為です。

    https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/06.html [soumu.go.jp]
    一連の設定不備事案では企業側の錯誤によって第三者にアクセス権が付与されているので形式上は不正アクセス禁止法 [e-gov.go.jp]で定義されている「不正アクセス行為」には該当しない。
    両備システムズの発表でも「外部の第三者による意図しない情報に対するアクセス」と書いてあり、不正アクセスという言葉は使っていない。

    ……って関連リンクのPayPayの#3938057 [srad.jp]でも同じこと言ってたか。
    // こういうのってIDでタレコミ段階で指摘すれば気付いてくれんのかな

    ここに返信
    • by Anonymous Coward

      「ミスをした企業が悪い。ミスだろうがなんだろうが、システム的にアクセス出来たら不正アクセスじゃない」なんて15年前のACCS事件で完全に否定されてるだろ
      https://srad.jp/story/05/03/25/0423214/ [srad.jp]

    • by Anonymous Coward

      「推敲にかける時間は10分以内」と豪語していた奴の後釜だぞ。
      多少の誤字脱字は許容範囲内と割り切ってるから指摘するだけ無駄。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...