セールスフォース・ドットコムが提供するクラウドサービスの「設定不備」に起因する不具合が続々と明らかになっている。2021年2月1日までに、楽天やPayPay、イオンに加えて、バンダイや日本政府観光局(JNTO)でも顧客情報などの流出の可能性が明らかになった。内閣サイバーセキュリティセンター(NISC)がこの問題で注意喚起を出し、セールスフォース自身もお知らせを掲載するなど周知が広まるなか、今後も被害を公表する企業が続く可能性がある。
関連記事:NISCが「セールスフォース製品の設定不備」に注意促す、楽天などで不正アクセス
関連記事:「脆弱性に起因するものではない」、セールスフォースが設定不備問題で改めて主張
バンダイとBANDAI SPIRITSは2021年1月29日、お客様相談センターのシステムで管理していた顧客情報に対し、社外の第三者から不正アクセスを受けた可能性があると発表した。同システムにセールスフォースのクラウド型営業管理システムを採用しているとみられる。対象人数は両社合わせて147人で、顧客の名前や住所、電話番号、メールアドレス、対応記録が外部に流出した恐れがある。
原因は「クラウド型営業管理システムのセキュリティー設定の不備」という。既に当該システムを停止するといった対策を講じており、現時点で顧客への被害などは確認していないとしている。
JNTOも2021年1月21日、クラウド型情報管理システム内の情報の一部が第三者からアクセスできる状態だったと発表した。日経クロステックの取材で同システムにセールスフォースのサービスを採用していることが分かった。
JNTOによると、現時点で第三者からアクセスがあった可能性がある期間は2015年8月25日から2021年1月12日までで、アクセスされた可能性のある情報は4万9774件に達する。賛助団体・会員や担当者などの情報が外部に流出した恐れがある。原因は「機構外のクラウド型情報管理システムの設定上、第三者によるアクセスが可能な状態にあったこと」にあり、システムの設定変更などの対策を講じたという。
なお東邦ガスは2021年1月22日、ガスエネルギー館の会員受付システムで第三者からアクセス可能な状態が生じていたと発表した。対象件数は167件であり、調査中ではあるものの1月22日時点で第三者からのアクセスと被害は確認していないとした。システムの設定を変更し、第三者からのアクセスをできなくしている。当該システムでセールスフォースのクラウドを使っているかは明らかにしていない。
