PR

 両備システムズ(岡山市)は2021年2月12日、セールスフォース・ドットコムのクラウドサービスの「設定不備」を巡り、13団体で外部の第三者による意図しない情報へのアクセスを確認したと発表した。既に両備システムズが手掛けるシステムを利用する神戸市や千葉県船橋市などで不正アクセスの被害の可能性が明らかになっている。

クラウド型システムの設定不備に関するリリース
クラウド型システムの設定不備に関するリリース
(出所:両備システムズ)

 両備システムズが提供するWeb住民けんしん予約や住民生活総合支援アプリ「i-Blend」、緊急通報システム「Net119」を利用する団体が不正アクセスを受ける恐れがあった。いずれもセールスフォースのクラウドを活用している。2021年2月12日午後7時時点でこれら3システムを導入する71団体のうち13団体が、外部の第三者による不正アクセスを確認したとWebサイトで明らかにしたという。

 原因はセールスフォースのクラウドを活用したシステムを提供するに当たって「外部からの参照設定に関する当社の認識過誤に起因する権限設定の誤り」(両備システムズ)にあるという。両備システムズは2021年2月1日中に、対象システムの設定を変更し、外部の第三者からのアクセスを遮断する対応を終えている。

 セールスフォースの設定不備を巡っては、楽天やPayPayなどでも不正アクセスによる情報流出の恐れが明らかになっている。トラブルの発端は、セールスフォースが2016年1月に投入したUI(ユーザーインターフェース)のWebフレームワークである「Lightning Experience」にあった可能性が高い。その部品の1つとして提供されていたとみられるのが「Auraエンドポイント」だ。

 Auraエンドポイントを使うと、「オブジェクト」と呼ばれるデータベースに対し第三者が「ゲストユーザー」の権限で直接アクセスできた。従来はオブジェクトに対するアクセス権限を広めに設定していても、UI側の作り込みで表示する情報を細かく出し分けられたが、Auraエンドポイントのリリースでこの仕組みに「穴」が空いた格好だ。

 しかも、リリース当時はゲストユーザーのLightning Experienceの設定を無効にできない仕様だったという。無効にできるようになったのは2019年2月のアップデート時とみられる。セールスフォースのユーザー企業からはAuraエンドポイントに関して「自宅の壁にいきなりマジックミラーを取り付けられたようなものだ」という声も漏れている。