セールスフォース・ドットコムの一部のサービスを使う企業に対する不正アクセスを巡って、楽天だけでなくPayPayも被害を受けていたことが2020年12月26日までに分かった。セールスフォースのサービスを使う企業は多く、被害がさらに広がる可能性がある。
PayPayは2020年12月7日、加盟店に関する営業情報などを管理するシステムが不正アクセスを受けていたと発表していた。日経クロステックの取材で、同システムにセールスフォースのサービスを使っていることが分かった。
不正アクセスの原因はアクセス権限の設定不備である。不備があった期間は2020年10月18日から12月3日までで、加盟店の店名や住所、連絡先、代表者名、代表者生年月日などを社外の第三者が不正に閲覧した可能性がある。PayPayは2020年11月28日にブラジルからのアクセス履歴を1件確認しており、12月3日までに遮断する措置を講じている。
楽天も2020年12月25日、クラウド型営業管理システムに社外の第三者から不正アクセスがあったと発表している。関係者への取材で、同システムにセールスフォースのサービスを使っていることが分かっている。楽天のほか、楽天カードや楽天Edyも同システムを使い、最大で延べ148万件超の顧客情報が不正アクセスできる状態だった。一部の情報には実際に海外から不正アクセスがあった。
原因はクラウド型営業管理システムのセキュリティー設定の誤り。楽天は2020年11月26日までに設定を正しく変更し、それ以降は不正アクセスは確認していないという。
