全日本空輸(ANA)は2021年2月24日、機体工場見学の申し込みサイトと法人向けサービスの一部で使用するクラウド型情報管理システムにおいて、顧客情報が流出する恐れがあったことを明らかにした。同社は詳細な原因を明らかにしていないが、セールスフォース・ドットコムが手掛けるクラウドサービスの「設定不備」に起因した情報流出とみられる。
機体工場見学については、2017年12月以降に申し込んだ代表者の氏名、電話番号、メールアドレスを第三者が閲覧できる可能性があった。法人向けサービスでは、出張手配システム「ANA@desk」と法人向け会員プログラム「ANA ProFlyers Bonus」を2014年以降に新規契約した顧客企業と担当者の氏名、電話番号を第三者が閲覧できる可能性があった。いずれも既にシステムへの対処を施し、現在は第三者が閲覧できない状態になっている。これまでに不正アクセスや、顧客情報が不正利用されたとの報告はないとしている。
同社によると、2021年2月上旬にセキュリティー関連の団体から注意喚起の情報があり、社内で点検した結果「(2月24日の)前週末に判明した」(ANA広報)。「一般のお客様がANAのWebサイトで航空券を購入した場合など、今回お知らせした以外のサービスからの情報流出の心配はない。該当サービスであっても専門知識を持った者が特殊なツールを使わないと顧客情報にアクセスできない状態だった」(同)としている。
セールスフォースの設定不備問題を巡っては、これまでにイオン、バンダイ、freee、PayPay、楽天などの各社、日本政府観光局(JNTO)、神戸市をはじめとする13自治体などでも情報流出の恐れや不正アクセスが判明している。これに対しセールスフォースは「Salesforceプラットフォーム固有の脆弱性に起因するものではなく、お客様のアクセス制御の権限設定が適切に行われていない場合に発生する可能性がある」とする声明を発表している。
関連記事:freeeや神戸市でも情報流出の恐れ、セールスフォース製品の「設定不備」で
関連記事:セールスフォース製品「設定不備」による不具合続々、バンダイや日本政府観光局でも
関連記事:NISCが「セールスフォース製品の設定不備」に注意促す、楽天などで不正アクセス
関連記事:楽天とPayPayがつまずいたセールスフォース製品の「設定不備」、被害は氷山の一角か
関連記事:「脆弱性に起因するものではない」、セールスフォースが設定不備問題で改めて主張
関連記事:拡大する「セールスフォース設定不備問題」、3分でまるわかり
関連記事:金融庁の注意喚起で金融機関が対応急ぐ、セールスフォース製品への不正アクセスで
