TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

インシデント: Salesforce (まとめ)

【要点】

◎CRMソフト Salesforce の ゲストユーザーのLightning Experienceの設定が無効でない場合に、第三者がゲストユーザー権限を使ってアクセス制限を回避可能。現象が発生するためには、「Salesforceの製品または機能を利用(※)」「ゲストユーザーにオブジェクトへのアクセス権限を付与」「ゲストユーザーのLightning Experienceの設定が有効」の3つの条件がそろっていることが必要

※: コミュニティ、Salesforceサイト(旧Force.comサイト)、およびSite.comのサイト上に構築する公開サイト機能を使用*1


【目次】

概要

【概要】

■Salesforceの設定不備情報

判明日 組織 備考
2020/12/25 楽天 148万件(顧客情報)
2020/12/26 PayPay ブラジルから1件
2021/01/21 日本政府観光局(JNTO) 4万9774件
2021/01/22 東邦ガス 167件、第三者からのアクセスと被害は確認していない
2021/01/27 AEON 859件、海外から2度の不正アクセス
2021/01/29 バンダイ 147人の顧客情報
2021/02/09 神戸市 KOBEぽすと
2021/02/10 freee
2021/02/10 香芝市 かしば健康ナビ
2021/02/10 木更津市 らづナビ
2021/02/10 西条市 総合健診Web予約システム
2021/02/10 高砂市 たかさごナビ
2021/02/10 寝屋川市 もっと寝屋川
2021/02/10 東村山市 東村山防災navi
2021/02/10 船橋市 ふなっぷ
2021/02/10 守谷市 Morinfo
2021/02/25 ANA ANA@desk, ANA ProFlyers Bonus
2021/03/08 SMBC信託銀行
2021/03/08 SMBC日興証券
2021/03/17 JICA

■経緯

時期
概要
2016年1月 セールスフォースが「Lightning Experience」を投入
2019年2月 ゲストユーザーに対するLightning Experienceの設定の無効化が可能に
2020年12月7日 PayPayが加盟店に関する営業情報などを管理するシステムが不正アクセスを受けたと発表
2020年12月17日 金融庁がセールスフォースのクラウドからの情報漏洩の可能性について注意喚起
2020年12月25日 楽天が社外のクラウド型営業管理システムに保管していた情報が海外から不正アクセスを受けたと発表
2020年12月25日 セールスフォースが一部サービスのゲストユーザーの共有設定に関するお知らせを掲載

出典: 日経XTECH (https://xtech.nikkei.com/atcl/nxt/column/18/00989/012000044/)


【最新情報】

◆freeeや神戸市でも情報流出の恐れ、セールスフォース製品の「設定不備」で (日経XTECH, 2021/02/10)
https://xtech.nikkei.com/atcl/nxt/news/18/09634/
https://malware-log.hatenablog.com/entry/2021/02/10/000000_4

◆freee、個人情報約3000件が閲覧可能な状態に Salesforce製品の設定ミス (ITmedia, 2021/02/10 18:34)
https://www.itmedia.co.jp/news/articles/2102/10/news135.html
https://malware-log.hatenablog.com/entry/2021/02/10/000000_3

◆高砂市の公式アプリに設定不備 (NHK, 2021/02/11 07:58)
https://www3.nhk.or.jp/lnews/kobe/20210211/2020012020.html
https://malware-log.hatenablog.com/entry/2021/02/11/000000_1

◆13団体がセールスフォースの「設定不備」で不正アクセスを確認、委託先が発表 (日経XTECH, 2021/02/13)
https://xtech.nikkei.com/atcl/nxt/news/18/09648/
https://malware-log.hatenablog.com/entry/2021/02/13/000000_5

◆セールスフォース設定不備 13団体で不正アクセス確認 (日経新聞, 2021/02/15 11:30)
https://www.nikkei.com/article/DGXZQOFK150NS0V10C21A2000000/
https://malware-log.hatenablog.com/entry/2021/02/15/000000_1

◆「Salesforce」ベースの自治体向けサービスで設定不備 - 71団体が導入 (Security NEXT, 2021/02/15)
https://www.security-next.com/123342
https://malware-log.hatenablog.com/entry/2021/02/15/000000_2

◆イオン銀行に不正アクセス 顧客2千人の情報閲覧恐れ (SankeiBiz, 2021/02/24 14:49)
http://www.sankeibiz.jp/business/news/210224/bsd2102241449003-n1.htm
https://malware-log.hatenablog.com/entry/2021/02/24/000000_9

◆ANAでもセールスフォース設定不備か、情報流出の恐れ (日経新聞, 2021/02/25 12:50)
https://www.nikkei.com/article/DGXZQOFK2522C0V20C21A2000000/
https://malware-log.hatenablog.com/entry/2021/02/25/000000_3

◆三井住友FG系2社が情報流出 システム設定不備で (日経新聞, 2021/03/09 02:00)
https://www.nikkei.com/article/DGKKZO69782060Y1A300C2EE9000/
https://malware-log.hatenablog.com/entry/2021/03/09/000000

記事

【注意喚起】

◆金融庁の注意喚起で金融機関が対応急ぐ、セールスフォース製品への不正アクセスで (日経XTECH, 2020/12/29)
https://xtech.nikkei.com/atcl/nxt/news/18/09416/
https://malware-log.hatenablog.com/entry/2020/12/29/000000_3

◆「設定を見直して」 NISC、「Salesforce」利用企業に注意喚起 楽天やPayPayの情報流出を受け (ITmedia, 2021/02/02 16:35)
https://www.itmedia.co.jp/news/articles/2102/02/news117.html
https://malware-log.hatenablog.com/entry/2021/02/02/000000

【ニュース】

◆拡大する「セールスフォース設定不備問題」、3分でまるわかり (日経XTECH, 2021/02/02)
https://xtech.nikkei.com/atcl/nxt/column/18/00157/020200078/
https://malware-log.hatenablog.com/entry/2021/02/02/000000_5

◆セールスフォース「脆弱性に起因するものではない」 (日経新聞, 2021/02/02 12:00)
https://www.nikkei.com/article/DGXZQOFK020YP0S1A200C2000000/
https://malware-log.hatenablog.com/entry/2021/02/02/000000_6

◆13団体がセールスフォースの「設定不備」で不正アクセスを確認、委託先が発表 (日経XTECH, 2021/02/13)
https://xtech.nikkei.com/atcl/nxt/news/18/09648/
https://malware-log.hatenablog.com/entry/2021/02/13/000000_5

◆「Salesforce」ベースの自治体向けサービスで設定不備 - 71団体が導入 (Security NEXT, 2021/02/15)
https://www.security-next.com/123342
https://malware-log.hatenablog.com/entry/2021/02/15/000000_2

【インシデント情報】

◆楽天で最大148万件の顧客情報が流出か、セールスフォースのシステム設定を誤る (日経XTECH, 2020/12/25)
https://xtech.nikkei.com/atcl/nxt/news/18/09411/
https://malware-log.hatenablog.com/entry/2020/12/25/000000_6

◆楽天だけでなくPayPayでも、セールスフォース製品の設定不備を狙った不正アクセス (日経XTECH, 2020/12/26)
https://xtech.nikkei.com/atcl/nxt/news/18/09412/
https://malware-log.hatenablog.com/entry/2020/12/26/000000

◆楽天とPayPayがつまずいたセールスフォース製品の「設定不備」、被害は氷山の一角か (日経XTECH, 2021/01/22)
https://xtech.nikkei.com/atcl/nxt/column/18/00989/012000044/
https://malware-log.hatenablog.com/entry/2021/01/22/000000_12

◆イオンでも不正アクセス、セールスフォース製品の設定不備で (日経XTECH, 2021/01/27)
https://xtech.nikkei.com/atcl/nxt/news/18/09526/
https://malware-log.hatenablog.com/entry/2021/01/27/000000_9

◆イオンでも不正アクセス、セールスフォース製品で (日経新聞, 2021/01/28 11:55)
https://www.nikkei.com/article/DGXZQOFK280XJ0Y1A120C2000000/
https://malware-log.hatenablog.com/entry/2021/01/28/000000_12

◆セールスフォース設定不備、バンダイや政府観光局でも (日経新聞, 2021/02/02 12:00)
https://www.nikkei.com/article/DGXZQOFK0211L0S1A200C2000000/
https://malware-log.hatenablog.com/entry/2021/02/02/000000_4

◆Salesforce利用企業の複数が設定不備から情報流出。楽天、PayPay、イオン、バンダイなど (スラド, 2021/02/04 18:03)
https://security.srad.jp/story/21/02/03/213237/
https://malware-log.hatenablog.com/entry/2021/02/04/000000_6

◆freeeや神戸市でも情報流出の恐れ、セールスフォース製品の「設定不備」で (日経XTECH, 2021/02/10)
https://xtech.nikkei.com/atcl/nxt/news/18/09634/
https://malware-log.hatenablog.com/entry/2021/02/10/000000_4

◆freee、個人情報約3000件が閲覧可能な状態に Salesforce製品の設定ミス (ITmedia, 2021/02/10 18:34)
https://www.itmedia.co.jp/news/articles/2102/10/news135.html
https://malware-log.hatenablog.com/entry/2021/02/10/000000_3

◆freee、「Salesforce」利用の複数フォームに設定不備 - 他社事例と異なる部分 (Security NEXT, 2021/02/10)
https://www.security-next.com/123273
https://malware-log.hatenablog.com/entry/2021/02/10/000000_6

◆高砂市の公式アプリに設定不備 (NHK, 2021/02/11 07:58)
https://www3.nhk.or.jp/lnews/kobe/20210211/2020012020.html
https://malware-log.hatenablog.com/entry/2021/02/11/000000_1

◆セールスフォース設定不備 13団体で不正アクセス確認 (日経新聞, 2021/02/15 11:30)
https://www.nikkei.com/article/DGXZQOFK150NS0V10C21A2000000/
https://malware-log.hatenablog.com/entry/2021/02/15/000000_1

◆イオン銀行に不正アクセス 顧客2千人の情報閲覧恐れ (SankeiBiz, 2021/02/24 14:49)
http://www.sankeibiz.jp/business/news/210224/bsd2102241449003-n1.htm
https://malware-log.hatenablog.com/entry/2021/02/24/000000_9

◆ANAでもセールスフォース設定不備か、情報流出の恐れ (日経新聞, 2021/02/25 12:50)
https://www.nikkei.com/article/DGXZQOFK2522C0V20C21A2000000/
https://malware-log.hatenablog.com/entry/2021/02/25/000000_3

◆三井住友FG系2社が情報流出 システム設定不備で (日経新聞, 2021/03/09 02:00)
https://www.nikkei.com/article/DGKKZO69782060Y1A300C2EE9000/
https://malware-log.hatenablog.com/entry/2021/03/09/000000

◆JICAのWebサイトに不正アクセス、個人情報8418件が流出 Salesforce設定に不備 (ITmedia, 2021/03/17 13:24)
https://www.itmedia.co.jp/news/articles/2103/17/news107.html
https://malware-log.hatenablog.com/entry/2021/03/17/000000_8

【ブログ】

◆Salesforceの設定不備に起因した外部からのアクセス事案についてまとめてみた (piyolog, 2020/12/28)
https://piyolog.hatenadiary.jp/entry/2020/12/28/060000

【公開情報】

◆クラウド型情報管理システムへの第三者によるアクセスの可能性について (日本政府観光局(JNTO), 2021/01/21)
https://www.jnto.go.jp/jpn/news/20210121.pdf
https://malware-log.hatenablog.com/entry/2021/01/21/000000_5

◆ガスエネルギー館のクラウド型システムへの第三者によるアクセスの可能性について (東邦ガス, 2021/01/22)
https://www.tohogas.co.jp/announcement/1219873_1369.html
https://malware-log.hatenablog.com/entry/2021/01/22/000000_13

◆Salesforceサイトおよびコミュニティにおけるゲストユーザのアクセス制御の権限設定について (Salesforce, 2021/01/25)
https://www.salesforce.com/jp/company/news-press/stories/salesforce-update/
https://malware-log.hatenablog.com/entry/2021/01/25/000000_8

◆ゲストユーザプロファイルを設定するときのベストプラクティスと考慮事項 (Salesforce, 2021/01/25)
https://help.salesforce.com/articleView?id=sf.networks_guest_profile_best_practices.htm&type=5
https://malware-log.hatenablog.com/entry/2021/01/25/000000_9

◆クラウド型お問い合わせ管理システムに対しての第三者によるアクセスの可能性について (公開情報, 2021/02/10)
https://corp.freee.co.jp/news/system-research.html
https://malware-log.hatenablog.com/entry/2021/02/10/000000_7

◆クラウド型システムへの第三者からのアクセスについて (両備システムズ, 2021/02/10)
https://www.ryobi.co.jp/news/notification20210210
https://malware-log.hatenablog.com/entry/2021/02/10/000000_10

◆クラウド型システムへの第三者からのアクセスについて(更新)(両備システムズ, 2021/02/12)
https://www.ryobi.co.jp/news/notification20210212
https://malware-log.hatenablog.com/entry/2021/02/12/000000_10

◆クラウド型システムへの第三者からのアクセスについて(更新)(両備システムズ, 2021/02/15)
https://www.ryobi.co.jp/news/notification20210215-1
https://malware-log.hatenablog.com/entry/2021/02/15/000000_3

関連情報

【関連まとめ記事】

全体まとめ
 ◆インシデント (まとめ)
  ◆2020年のインシデント (まとめ)

◆2020年12月のインシデント (まとめ)
https://malware-log.hatenablog.com/entry/Incident_202012


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020