セールスフォース・ドットコムの一部クラウドサービスを使う企業への不正アクセスが2020年末に相次ぎ判明したことを受け、大手金融機関が対応に追われている。金融庁はこの問題で注意喚起を出しており、金融機関はセールスフォース製品のアクセス権限が適切かなどの確認を急いでいる。セールスフォースのサービスを使う金融機関は銀行や生損保など多岐にわたっており、問題の収束までには時間がかかりそうだ。
金融庁は2020年12月17日付で注意喚起を出した。複数の条件が重なると、セールスフォースのクラウドで管理する情報を第三者がゲストユーザー権限で不正に閲覧できる状況になるという内容だ。金融庁は点検や対策を促すとともに、問題の条件を満たす金融機関などは速やかに財務局などに報告するよう指示した。
ある損害保険会社の関係者は「グループ会社を含めて確認作業を進めている最中だ」と明かす。一方、ゆうちょ銀行は「セールスフォースのサービスを利用している当行サービスにおいて、顧客情報が漏洩した事実は現時点で確認していない」(広報部)とする。顧客情報を管理するシステムは外部から閲覧できないように設定しているという。
セールスフォースのサービスを巡っては、既に楽天やPayPayで不正アクセスが判明している。楽天と楽天カード、楽天Edyでは、クラウド型営業管理システムで保管していた一部情報に対して、社外の第三者がアクセスしていた。PayPayは加盟店に関する営業情報などを管理するシステムにブラジルからアクセスがあったことが分かっている。
セールスフォースのクラウドを使う一部ユーザー企業からは、不正アクセスの端緒になった2016年の製品刷新時におけるセールスフォースの情報発信などに不満の声も出ている。今後議論になりそうだ。
