セールスフォース・ドットコムは2021年2月1日までに、一部顧客で発生しているゲストユーザーのアクセス権限に関する「設定不備」についてのお知らせを発表した。同社は「Salesforceプラットフォーム固有の脆弱性に起因するものではなく、お客様のアクセス制御の権限設定が適切に行われていない場合に発生する可能性がある」と改めて主張した。
セールスフォースが「設定不備」問題に関するお知らせを発表
(出所:セールスフォース・ドットコム)
[画像のクリックで拡大表示]
既に楽天やPayPay、イオンにおいて、セールスフォース製品の設定不備が原因で、顧客情報の流出の可能性が明らかになっている。セールスフォースは「コミュニティ、Salesforceサイト(旧Force.comサイト)、およびSite.comのサイト上に構築する公開サイト機能をご利用のお客様にのみ発生する事象」とした。
セールスフォースは最近のアップデートから、ユーザーに必要最小限のアクセス権限を付与する「最小権限」と、初期設定(デフォルト)を可能な限り安全な状態にする「セキュア・バイ・デフォルト」の原則に基づくゲストユーザーのセキュリティーポリシーの強制適用も始めた。従来はゲストユーザーの権限の多くを顧客側が設定できたという。
