楽天だけでなくPayPayでもセールスフォース製品の設定不備を狙った不正アクセス
■ このスレッドは過去ログ倉庫に格納されています
セールスフォース・ドットコムの一部のサービスを使う企業に対する不正アクセスを巡って、楽天だけでなくPayPayも被害を受けていたことが2020年12月26日までに分かった。セールスフォースのサービスを使う企業は多く、被害がさらに広がる可能性がある。
PayPayは2020年12月7日、加盟店に関する営業情報などを管理するシステムが不正アクセスを受けていたと発表していた。日経クロステックの取材で、同システムにセールスフォースのサービスを使っていることが分かった。
不正アクセスの原因はアクセス権限の設定不備である。不備があった期間は2020年10月18日から12月3日までで、加盟店の店名や住所、連絡先、代表者名、代表者生年月日などを社外の第三者が不正に閲覧した可能性がある。PayPayは2020年11月28日にブラジルからのアクセス履歴を1件確認しており、12月3日までに遮断する措置を講じている。
楽天も2020年12月25日、クラウド型営業管理システムに社外の第三者から不正アクセスがあったと発表している。関係者への取材で、同システムにセールスフォースのサービスを使っていることが分かっている。楽天のほか、楽天カードや楽天Edyも同システムを使い、最大で延べ148万件超の顧客情報が不正アクセスできる状態だった。一部の情報には実際に海外から不正アクセスがあった。
原因はクラウド型営業管理システムのセキュリティー設定の誤り。楽天は2020年11月26日までに設定を正しく変更し、それ以降は不正アクセスは確認していないという。
https://xtech.nikkei.com/atcl/nxt/news/18/09412/
楽天で最大148万件の顧客情報が流出か、セールスフォースのシステム設定を誤る
https://xtech.nikkei.com/atcl/nxt/news/18/09411/
楽天は2020年12月25日、クラウド型営業管理システムに保管していた情報の一部が社外の第三者から不正アクセスを受けていたと発表した。楽天のほか、楽天カードや楽天Edyも被害に遭い、最大で延べ148万件超の顧客情報が不正にアクセスできる状態だった。日経クロステックの取材で、このクラウド型営業管理システムが米salesforce.com(セールスフォース・ドットコム)のシステムだったことが分かった。
不正アクセスの原因は、楽天がクラウド型営業管理システムのセキュリティー設定を誤ったことにある。2016年に同システムのアップデートがあった際、セキュリティー設定のデフォルト値が変わったという。再設定が必要だったが、できていなかった。2020年11月24日の社外のセキュリティー専門家からの指摘をきっかけに、設定の誤りが判明。社内のセキュリティー専門部署を中心に対応し、2020年11月26日までに正しい設定に直した。
不正アクセスを受けた可能性がある顧客情報は、例えば楽天ではEC(電子商取引)サイト「楽天市場」に出店見込みあるいは契約済みの事業者の企業名や店舗名、住所、代表者名、電話番号、メールアドレスなどだった。不正アクセスを受けた可能性がある期間は2016年1月15日から2020年11月24日まで。楽天では最大138万1735件が不正アクセスを受けた可能性があり、うち208件に実際に不正アクセスがあったという。
楽天は不正アクセスは海外からあったとみている。現時点で法人や個人の顧客に対する被害は確認していないという。 セールスフォースっていろいろな会社が利用しているところだよな?
大問題じゃないの? 楽天ってセールスフォース使ってんのかよ
他社システムになんか頼らないで
パソコン得意な社員にエクセルで管理表作ってもらえよ 楽天()paypay()
自称情強気取りの情弱がビビってそうw 楽天Edyは実カードに店舗でチャージして使ってるから特に問題ないな 設定の不備ならsfそのものの問題じゃないじゃん?
まぁ保守要員は明日から設定確認やな >>6
単なる設定ミスだからな
初期値を変更するか、初期設定時に注意を促すフローにすべきだとは思うけど >>6
Lightningでカスタマイズできるんだ
楽天側の問題 >>17
アップデートしたらセキュリティー設定のデフォルト値が変わるとか
罠にもほどがあるだろw >>17-18
ありがとう
楽天側のミスなら仕方ないな バージョンアップで勝手にデフォルト値いじるのやめろや
しかも大概わかりやすい変更箇所一覧的なものは無いしさ ■ このスレッドは過去ログ倉庫に格納されています