15万社以上が使い、「世界No.1 CRM(顧客情報管理)」をうたうセールスフォース・ドットコム。同社が提供するクラウドサービスを使う企業で、本来アクセスできないはずの情報を第三者が閲覧できてしまう問題が明らかになった。この問題に気づいていない企業もあるとみられ、情報漏洩のリスクが高まっている。
「自宅の壁にいきなりマジックミラーを取り付けられたようなものだ」。セールスフォースのクラウドを使うネット企業のセキュリティー担当者はこう憤る。
情報セキュリティーに詳しい国際大学グローバル・コミュニケーション・センター(GLOCOM)の楠正憲客員研究員は「今はアンテナが高い企業で被害が判明している段階。金融以外の業種では被害をまだ十分に洗い出せていないのではないか」と指摘する。セールスフォースのクラウドに何が起きたのか。
楽天やPayPayが被害公表
今回の不正アクセス問題が広く知られるようになったきっかけは、2020年12月25日の楽天の発表にある。楽天などが使う社外のクラウド型営業管理システムが海外から不正アクセスを受け、最大で延べ148万件超の顧客情報が外部に流出した可能性があると明らかにしたのだ。
| 時期 | 概要 |
|---|---|
| 2016年1月 | セールスフォースが「Lightning Experience」を投入 |
| 2019年2月 | ゲストユーザーに対するLightning Experienceの設定の無効化が可能に |
| 2020年12月7日 | PayPayが加盟店に関する営業情報などを管理するシステムが不正アクセスを受けたと発表 |
| 同月17日 | 金融庁がセールスフォースのクラウドからの情報漏洩の可能性について注意喚起 |
| 同月25日 | 楽天が社外のクラウド型営業管理システムに保管していた情報が海外から不正アクセスを受けたと発表 |
| 同月25日 | セールスフォースが一部サービスのゲストユーザーの共有設定に関するお知らせを掲載 |
例えば楽天カードでは、事業者向けビジネスローンの申込者情報が漏洩した恐れがある。代表者の氏名や住所、電話番号だけでなく、個人の口座情報や年収なども外部に漏れた可能性がある。
同様の被害を受けていたのは、楽天だけではなかった。楽天の発表から2週間以上前の12月7日、PayPayも加盟店に関する営業情報を管理するシステムが海外から不正アクセスを受け、加盟店の店名や住所、連絡先などが漏洩した恐れがあると発表していた。
実は、楽天とPayPayの不正アクセス問題には共通点がある。いずれもセールスフォースのユーザーであるという点だ。さらに原因が「社外のクラウド型営業管理システムの利用におけるセキュリティー設定の不備」(楽天)、「当該情報へのアクセス権限の設定不備」(PayPay)と似通っている。
火種は2016年投入の新Webフレームワーク
複数のユーザー企業への取材から、不正アクセス問題の真相が見えてきた。解き明かすには、2016年1月まで時間を巻き戻す必要がある。同月、セールスフォースは操作性やデザインなどを刷新した新しいUI(ユーザーインターフェース)のためのWebフレームワークとして「Lightning Experience」を投入した。
トラブルの火種になったのは、Lightning Experienceのリリース当初から部品の1つとして提供されていたとみられる「Auraエンドポイント」だ。Auraエンドポイントを使うと、セールスフォース製品が従来備える「オブジェクト」と呼ばれるデータベースに対し、第三者が「ゲストユーザー」の権限で直接アクセスできるようになる。ゲストユーザーとはアンケートフォームへの回答者などセールスフォースのサービスのアカウントを持たない人を指す。
Auraエンドポイントを含むLightning Experienceのリリース以前は、オブジェクトのアクセス権限を広めに設定していても、UI側の作り込みで表示する情報を細かく調整できた。AuraエンドポイントのリリースでこのUI側の調整に「穴」が空いた格好だ。
