PR

 SMBC信託銀行とSMBC日興証券は2021年3月8日、それぞれが運営するクラウド型口座開設システムに、不正アクセスがあったと発表した。いずれもセールスフォース・ドットコムが手掛けるクラウドサービスの設定不備によるもので、現在は設定を変更して第三者からアクセスできないようにしたとしている。

 SMBC信託銀行とSMBC日興証券はそれぞれ、2020年12月の金融庁の注意喚起を受けてシステムを点検した。その時点ではセールスフォース製品のアクセス権限は適切だと確認したものの、2021年2月に外部のセキュリティー専門家から指摘を受けてそれぞれ再度確認したところ、同製品が2020年7月にバージョンアップする以前に手続きをした顧客の情報がそれぞれ不正アクセスされる状態にあったことが判明した。

 SMBC信託銀行では、クラウド型口座開設システムで2017年7月24日から2020年7月18日までに口座開設の手続きをした3万7176人の名前、性別、生年月日、電話番号、メールアドレス、住所、勤務先、暗号化済みのデビット用暗証番号などが不正アクセスされる状態にあった。アクセスログ解析の結果、2020年11月8日と2020年12月3日の2回にわたって、合計最大101人の情報への不正アクセスが確認された。なお、2017年7月24日から2018年1月31日まではセールスフォース製品のアクセスログ保存期間が経過してログ情報が残っていないため調査できないとしている。

 SMBC日興証券では、クラウド型口座開設サービス「ネットで口座開設」のサービス開始時である2019年12月16日から2020年7月19日の間に口座開設の手続きをしたのべ8万1588人の名前とメールアドレスなどが不正アクセスされる状態にあった。アクセスログ解析の結果、2020年12月24日に最大50人の名前とメールアドレスへの不正アクセスが確認された。

 SMBC信託銀行では2021年2月12日、SMBC日興証券では2021年2月11日にそれぞれセキュリティー設定変更をして不具合を修正済み。両社は「現時点で二次被害は確認されていない」としている。

 セールスフォースの設定不備問題を巡っては、これまでに全日本空輸(ANA)、イオン、バンダイ、freee、PayPay、楽天などの各社、日本政府観光局(JNTO)、神戸市をはじめとする13自治体などでも情報流出の恐れや不正アクセスが判明している。これに対しセールスフォースは「Salesforceプラットフォーム固有の脆弱性に起因するものではなく、お客様のアクセス制御の権限設定が適切に行われていない場合に発生する可能性がある」とする声明を発表している。