全3260文字
PR

セールスフォースのクラウドの「設定不備」による情報漏洩リスクが浮上した。楽天とPayPayは最大で合計2000万件以上の情報が見られた恐れがある。火種は5年前の製品に潜み、設定不備に気づいていない企業も多そうだ。

 15万社以上が使い、「世界No.1CRM(顧客情報管理)」をうたうセールスフォース・ドットコム。同社が提供するクラウドサービスを使う企業で、本来アクセスできないはずの情報を第三者が閲覧できてしまう問題が明らかになった。この問題に気づいていない企業もあるとみられ、情報漏洩のリスクが高まっている。

 「自宅の壁にいきなりマジックミラーを取り付けられたようなものだ」。同社のクラウドを使うネット企業のセキュリティー担当者はこう憤る。

 情報セキュリティーに詳しい国際大学グローバル・コミュニケーション・センター(GLOCOM)の楠正憲客員研究員は「今はアンテナが高い企業で被害が判明している段階。金融以外の業種では被害をまだ十分に洗い出せていないのではないか」と指摘する。事実として被害を公表する非金融企業も出てきた。今の被害は氷山の一角の可能性があるというわけだ。

楽天やPayPayが被害公表

 今回の不正アクセス問題が広く知られるようになったきっかけは、2020年12月25日の楽天の発表にある。楽天や楽天カード、楽天Edyが使う社外のクラウド型営業管理システムが海外から不正アクセスを受け、最大で延べ148万件超の顧客情報が外部に流出した可能性があると明らかにしたのだ。

 例えば楽天カードでは、事業者向けビジネスローンの申込者情報が漏洩した恐れがある。代表者の氏名や住所、電話番号だけでなく、個人の口座情報や年収なども外部に漏れた可能性がある。

 同様の被害を受けていたのは、楽天だけではなかった。楽天の発表から2週間以上前の2020年12月7日、PayPayも加盟店に関する営業情報を管理するシステムが海外から不正アクセスを受け、加盟店の店名や住所、連絡先など、最大で約2000万件が漏洩した恐れがあると発表していた。

 さらにイオンが2021年1月25日に同社Webサイトの問い合わせフォームについて、社外の第三者からのアクセスを確認したと発表した。859件の情報が不正アクセスを受けた可能性があるという。2021年1月3日に社外の有識者の指摘で判明したといい、本問題を日経コンピュータなどが報じた後で不正アクセスが明らかになった。

 3社の不正アクセス問題には共通点がある。いずれもセールスフォースのクラウドのユーザーであるという点だ。さらに原因が「社外のクラウド型営業管理システムの利用におけるセキュリティー設定の不備」(楽天)、「当該情報へのアクセス権限の設定不備」(PayPay)、「問い合わせフォームにおけるセキュリティーの設定不備」(イオン)と似通っている。

火種は2016年投入の新機能

 複数のユーザー企業への取材から、不正アクセス問題の真相が見えてきた。解き明かすには、2016年1月まで遡る必要がある。同月、セールスフォースは操作性やデザインなどを刷新した新しいUI(ユーザーインターフェース)のためのWebフレームワーク「Lightning Experience」を投入した。

表 不正アクセス問題の主な経緯
問題の火種は5年間くすぶっていた
表 不正アクセス問題の主な経緯
[画像のクリックで拡大表示]

 トラブルの火種になったのは、Lightning Experienceのリリース当初から部品の1つとして提供されていたとみられる「Auraエンドポイント」だ。同部品を使うと、セールスフォース製品が従来備える「オブジェクト」と呼ばれるデータベースに対し、第三者が「ゲストユーザー」の権限で直接アクセスできるようになる。ゲストユーザーとはアンケートフォームへの回答者などセールスフォースのサービスのアカウントを持たない人を指す。

 Auraエンドポイントを含むLightning Experienceのリリース以前は、オブジェクトのアクセス権限を広めに設定しても、UI側の作り込みで表示する情報を細かく調整できた。AuraエンドポイントのリリースでこのUI側の調整に「穴」が空いた格好だ。