セールスフォースの情報漏洩はなぜ起きた？楽天・paypayの事例と対策

2022-03-12

株式会社セールスフォース・ドットコムの顧客管理ソリューション「Salesforce」製品の設定不備が要因で、2020年末から情報漏洩事故が多数明らかになっています。

この記事では、そうした事故事例や要因について解説していきます。

セールスフォースの設定ミスによる情報漏洩事故事例

まずは情報漏洩事故の内容を振り返ってみましょう。

2020年12月25日に補完していた情報の一部が社外の第三者から不正アクセスを受けていたと発表しました。

楽天グループ会社下記3つの情報が漏洩していたようです。

2020年12月1日に加盟店に関する営業情報を管理するシステムが海外から不正アクセスを受け、加盟店の店名や住所、連絡先などが漏洩したと発表しています。

上記で挙げた以外にも、イオンや日本政府観光局、バンダイなども不正アクセスの被害を明らかにしました。

こうした不正アクセス事故が相次いだため、内閣サイバーセキュリティセンター（NISC）がSalesforce商品に対して異例の注意喚起を行いました。

事故の原因はSalesforceのアップデート時に外部からアクセスできる機能がデフォルトで有効になっていたのですが、利用企業側がそれに気づかず設定変更をしないまま利用していたことにあります。

2016年にセールスフォースがリリースした「Lightning」というコンソールの中にサイト機能があり、この機能を利用することでWebページをSalesforce上に置くことができます。そのページにはSalesforceのIDパスワードがなくともアクセスできるという仕様になっています。

またサイト機能を有効にすることで「Auraエンドポイント」というオブジェクトにアクセスできるAPIが有効になります。

Webページを作成したときに生成されるゲストユーザーのデフォルトの権限設定が「Lightning」「Auraエンドポイント」ともにオンになっていたままであったようです。

クラウドはベンダーとユーザーそれぞれがクラウドのどこからどこまでに責任を持つのかが決められています。（責任分界点）

SaaSにおいては、インフラやOS/ネットワーク、アプリケーションはベンダー側が責任を持ちますが、アカウントの権限設定や利用データ、IDやパスワードの管理に関してはユーザー側が責任を持ちます。

セールスフォースの事象はゲストユーザーの権限設定が主な要因のため、責任はユーザー側にあるといえます。

セールスフォース社も背景共有や対策は発表しつつも、「プラットフォーム固有の脆弱性に起因するものではない」と、責任の所在はないことを明言しています。

このような事故を起こさないようにするためには、下記の対策が必要です。

上記で説明した通り、オンプレミスとSaaSの大きな違いは責任分界点があることです。

SaaS利用者は、SaaSの設定については自身が責任を持っていること、そしてその設定次第では重要な情報が漏洩してしまう可能性があることを把握しなければなりません。

上記でリスクの把握が重要と説明しましたが、ITやインフラの知見がない場合、その設定が適切なのかを判断する難易度は高い場合もあります。

今回のSalesforceの件もシステムアップデート時に起こったことであり、その内容は複雑だったようです。

もし自身で管理が難しい場合は、第三者の手を借りてチェック・管理をすることも一つの手です。

株式会社SHIFT SECURITYは、2020年のインシデント事例を受けて「Salesforce向け無償セキュリティ診断」のサービスを展開しています。

SAASCOREはSaaSのセキュリティ管理ができます。

SaaSの不適切な設定やリスクのある利用を検知すると自動でアラートをあげてくれます。

SAASCOREを導入すれば、SaaSのセキュリティの課題に頭を悩ませることがなくなるでしょう。