【要点】
◎CRMソフト Salesforce の ゲストユーザーのLightning Experienceの設定が無効でない場合に、第三者がゲストユーザー権限を使ってアクセス制限を回避可能。現象が発生するためには、「Salesforceの製品または機能を利用(※)」「ゲストユーザーにオブジェクトへのアクセス権限を付与」「ゲストユーザーのLightning Experienceの設定が有効」の3つの条件がそろっていることが必要
※: コミュニティ、Salesforceサイト(旧Force.comサイト)、およびSite.comのサイト上に構築する公開サイト機能を使用*1
【目次】
概要
【概要】
■Salesforceの設定不備情報
| 判明日 | 組織 | 備考 |
|---|---|---|
| 2020/12/25 | 楽天 | 148万件(顧客情報) |
| 2020/12/26 | PayPay | ブラジルから1件 |
| 2021/01/21 | 日本政府観光局(JNTO) | 4万9774件 |
| 2021/01/22 | 東邦ガス | 167件、第三者からのアクセスと被害は確認していない |
| 2021/01/27 | AEON | 859件、海外から2度の不正アクセス |
| 2021/01/29 | バンダイ | 147人の顧客情報 |
| 2021/02/09 | 神戸市 | KOBEぽすと |
| 2021/02/10 | freee | |
| 2021/02/10 | 香芝市 | かしば健康ナビ |
| 2021/02/10 | 木更津市 | らづナビ |
| 2021/02/10 | 西条市 | 総合健診Web予約システム |
| 2021/02/10 | 高砂市 | たかさごナビ |
| 2021/02/10 | 寝屋川市 | もっと寝屋川 |
| 2021/02/10 | 東村山市 | 東村山防災navi |
| 2021/02/10 | 船橋市 | ふなっぷ |
| 2021/02/10 | 守谷市 | Morinfo |
| 2021/02/25 | ANA | ANA@desk, ANA ProFlyers Bonus |
| 2021/03/08 | SMBC信託銀行 | |
| 2021/03/08 | SMBC日興証券 | |
| 2021/03/17 | JICA | |
| 2021/04/22 | 静岡銀行 | |
| 2021/05/31 | ホーユー |
■経緯
| 時期 |
概要 |
|---|---|
| 2016年1月 | セールスフォースが「Lightning Experience」を投入 |
| 2019年2月 | ゲストユーザーに対するLightning Experienceの設定の無効化が可能に |
| 2020年12月7日 | PayPayが加盟店に関する営業情報などを管理するシステムが不正アクセスを受けたと発表 |
| 2020年12月17日 | 金融庁がセールスフォースのクラウドからの情報漏洩の可能性について注意喚起 |
| 2020年12月25日 | 楽天が社外のクラウド型営業管理システムに保管していた情報が海外から不正アクセスを受けたと発表 |
| 2020年12月25日 | セールスフォースが一部サービスのゲストユーザーの共有設定に関するお知らせを掲載 |
出典: 日経XTECH (https://xtech.nikkei.com/atcl/nxt/column/18/00989/012000044/)
【最新情報】
◆静岡銀行で第三者アクセス、セールスフォース製品の設定不備 (日経XTech, 2021/04/22)
https://xtech.nikkei.com/atcl/nxt/news/18/10187/
⇒ https://malware-log.hatenablog.com/entry/2021/04/22/000000_3
◆静岡銀の顧客情報に不正アクセス (日経新聞, 2021/04/23 01:49)
https://www.nikkei.com/article/DGKKZO71268820S1A420C2L61000/
⇒ https://malware-log.hatenablog.com/entry/2021/04/23/000000_1
◆クラウド設定不備で顧客情報約11万件が閲覧可能に、流出は1件 - ホーユー (Security NEXT, 2021/05/31)
https://www.security-next.com/126533
⇒ https://malware-log.hatenablog.com/entry/2021/05/31/000000
記事
【注意喚起】
◆金融庁の注意喚起で金融機関が対応急ぐ、セールスフォース製品への不正アクセスで (日経XTECH, 2020/12/29)
https://xtech.nikkei.com/atcl/nxt/news/18/09416/
⇒ https://malware-log.hatenablog.com/entry/2020/12/29/000000_3
◆「設定を見直して」 NISC、「Salesforce」利用企業に注意喚起 楽天やPayPayの情報流出を受け (ITmedia, 2021/02/02 16:35)
https://www.itmedia.co.jp/news/articles/2102/02/news117.html
⇒ https://malware-log.hatenablog.com/entry/2021/02/02/000000
【ニュース】
◆拡大する「セールスフォース設定不備問題」、3分でまるわかり (日経XTECH, 2021/02/02)
https://xtech.nikkei.com/atcl/nxt/column/18/00157/020200078/
⇒ https://malware-log.hatenablog.com/entry/2021/02/02/000000_5
◆セールスフォース「脆弱性に起因するものではない」 (日経新聞, 2021/02/02 12:00)
https://www.nikkei.com/article/DGXZQOFK020YP0S1A200C2000000/
⇒ https://malware-log.hatenablog.com/entry/2021/02/02/000000_6
◆13団体がセールスフォースの「設定不備」で不正アクセスを確認、委託先が発表 (日経XTECH, 2021/02/13)
https://xtech.nikkei.com/atcl/nxt/news/18/09648/
⇒ https://malware-log.hatenablog.com/entry/2021/02/13/000000_5
◆「Salesforce」ベースの自治体向けサービスで設定不備 - 71団体が導入 (Security NEXT, 2021/02/15)
https://www.security-next.com/123342
⇒ https://malware-log.hatenablog.com/entry/2021/02/15/000000_2
【インシデント情報】
■2020年
◇2020年12月
◆楽天で最大148万件の顧客情報が流出か、セールスフォースのシステム設定を誤る (日経XTECH, 2020/12/25)
https://xtech.nikkei.com/atcl/nxt/news/18/09411/
⇒ https://malware-log.hatenablog.com/entry/2020/12/25/000000_6
◆楽天だけでなくPayPayでも、セールスフォース製品の設定不備を狙った不正アクセス (日経XTECH, 2020/12/26)
https://xtech.nikkei.com/atcl/nxt/news/18/09412/
⇒ https://malware-log.hatenablog.com/entry/2020/12/26/000000
■2021年
◇2021年1月
◆楽天とPayPayがつまずいたセールスフォース製品の「設定不備」、被害は氷山の一角か (日経XTECH, 2021/01/22)
https://xtech.nikkei.com/atcl/nxt/column/18/00989/012000044/
⇒ https://malware-log.hatenablog.com/entry/2021/01/22/000000_12
◆イオンでも不正アクセス、セールスフォース製品の設定不備で (日経XTECH, 2021/01/27)
https://xtech.nikkei.com/atcl/nxt/news/18/09526/
⇒ https://malware-log.hatenablog.com/entry/2021/01/27/000000_9
◆イオンでも不正アクセス、セールスフォース製品で (日経新聞, 2021/01/28 11:55)
https://www.nikkei.com/article/DGXZQOFK280XJ0Y1A120C2000000/
⇒ https://malware-log.hatenablog.com/entry/2021/01/28/000000_12
◇2021年2月
◆セールスフォース設定不備、バンダイや政府観光局でも (日経新聞, 2021/02/02 12:00)
https://www.nikkei.com/article/DGXZQOFK0211L0S1A200C2000000/
⇒ https://malware-log.hatenablog.com/entry/2021/02/02/000000_4
◆Salesforce利用企業の複数が設定不備から情報流出。楽天、PayPay、イオン、バンダイなど (スラド, 2021/02/04 18:03)
https://security.srad.jp/story/21/02/03/213237/
⇒ https://malware-log.hatenablog.com/entry/2021/02/04/000000_6
◆freeeや神戸市でも情報流出の恐れ、セールスフォース製品の「設定不備」で (日経XTECH, 2021/02/10)
https://xtech.nikkei.com/atcl/nxt/news/18/09634/
⇒ https://malware-log.hatenablog.com/entry/2021/02/10/000000_4
◆freee、個人情報約3000件が閲覧可能な状態に Salesforce製品の設定ミス (ITmedia, 2021/02/10 18:34)
https://www.itmedia.co.jp/news/articles/2102/10/news135.html
⇒ https://malware-log.hatenablog.com/entry/2021/02/10/000000_3
◆freee、「Salesforce」利用の複数フォームに設定不備 - 他社事例と異なる部分 (Security NEXT, 2021/02/10)
https://www.security-next.com/123273
⇒ https://malware-log.hatenablog.com/entry/2021/02/10/000000_6
◆高砂市の公式アプリに設定不備 (NHK, 2021/02/11 07:58)
https://www3.nhk.or.jp/lnews/kobe/20210211/2020012020.html
⇒ https://malware-log.hatenablog.com/entry/2021/02/11/000000_1
◆セールスフォース設定不備 13団体で不正アクセス確認 (日経新聞, 2021/02/15 11:30)
https://www.nikkei.com/article/DGXZQOFK150NS0V10C21A2000000/
⇒ https://malware-log.hatenablog.com/entry/2021/02/15/000000_1
◆イオン銀行に不正アクセス 顧客2千人の情報閲覧恐れ (SankeiBiz, 2021/02/24 14:49)
http://www.sankeibiz.jp/business/news/210224/bsd2102241449003-n1.htm
⇒ https://malware-log.hatenablog.com/entry/2021/02/24/000000_9
◆ANAでもセールスフォース設定不備か、情報流出の恐れ (日経新聞, 2021/02/25 12:50)
https://www.nikkei.com/article/DGXZQOFK2522C0V20C21A2000000/
⇒ https://malware-log.hatenablog.com/entry/2021/02/25/000000_3
◇2021年3月
◆三井住友FG系2社が情報流出 システム設定不備で (日経新聞, 2021/03/09 02:00)
https://www.nikkei.com/article/DGKKZO69782060Y1A300C2EE9000/
⇒ https://malware-log.hatenablog.com/entry/2021/03/09/000000
◆JICAのWebサイトに不正アクセス、個人情報8418件が流出 Salesforce設定に不備 (ITmedia, 2021/03/17 13:24)
https://www.itmedia.co.jp/news/articles/2103/17/news107.html
⇒ https://malware-log.hatenablog.com/entry/2021/03/17/000000_8
◇2021年4月
◆静岡銀行で第三者アクセス、セールスフォース製品の設定不備 (日経XTech, 2021/04/22)
https://xtech.nikkei.com/atcl/nxt/news/18/10187/
⇒ https://malware-log.hatenablog.com/entry/2021/04/22/000000_3
