PR

 セールスフォース・ドットコムが手掛けるクラウドサービスの「設定不備」に起因した情報流出問題が広がりを見せている。2021年2月10日までに、クラウド会計ソフトのfreeeや神戸市でも情報流出の恐れが判明した。楽天やPayPay、イオンなどでも同じような問題が判明しており、被害の全容はいまだ見えていない。

 freeeは2021年2月10日、社外のクラウド型問い合わせ管理システムにおいて、受付内容の一部に第三者がアクセスできる状態だったと発表した。同システムにセールスフォースのクラウドを利用しているとみられる。原因は同システムの利用における権限設定の不備にある。

 第三者がアクセス可能だった期間は2020年1月29日から2021年2月9日まで。「アカウント再設定申請フォーム」や「料金・お支払い関連用問い合わせフォーム」などから問い合わせた人が対象で、初回の問い合わせ受付内容2898件が外部からアクセスできる状態だった。メールアドレスや名前、電話番号だけでなく、銀行口座番号やクレジットカード番号なども一部含まれていた。

 2021年2月9日に第三者がアクセスできないように設定を変更した。現時点で「実際に社外の第三者からのアクセスおよび本件に起因した被害などは確認されていないが、引き続き影響範囲について調査を継続する」(freee)としている。

 神戸市は2021年2月9日、情報共有アプリ「KOBEぽすと」で利用しているクラウド型会員情報管理システムに対する第三者からのアクセスを確認したと発表した。神戸市も同システムにセールスフォースのクラウドを活用している。

 原因はセールスフォースのクラウドの設定不備にある。KOBEぽすとのユーザー登録者の名前や性別、生年月日、メールアドレス、住所などが外部に流出した可能性がある。ユーザー登録者数は2021年2月1日時点で1万2157人。ログを確認できた2021年1月3日から2月2日までに、接続失敗を含めて5回のアクセスがあった。アクセス元はブラジルで、実際に取得されたデータの項目や件数は「調査中」(神戸市)という。