piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Salesforceの設定不備に起因した外部からのアクセス事案についてまとめてみた

2020年12月25日、セールスフォースドットコムは一部製品、または機能を利用するユーザーにおいて、Salesforce上の組織の一部情報が第三者より閲覧できる事象が発生していると案内を掲載しました。また、12月に入り外部への情報流出の可能性を発表した楽天、PayPayがこの影響を受けたユーザーに含まれていたことが報じられています。ここでは関連する情報をまとめます。

設定不備で第三者からの情報閲覧事象が発生

www.salesforce.com
セールスフォースドットコムが公開したリリースをまとめると以下の通り。

  • 影響を受ける対象機能、製品はExperience Cloud(旧 Community Cloud)、Salesforceサイト、Site.com。
  • 既に当該機能、製品利用組織において第三者による閲覧行為が発生している。
  • 脆弱性起因の問題で生じた事象ではなく、ゲストユーザーに対する情報共有に関する設定が適切に行われていない場合に起こる。
  • ユーザーに対し、メール、コミュニティグループ、自社社員を通じて連絡を行っている。

またユーザーに対しゲストユーザーに対する共有設定の確認を呼び掛けており、以下のベストプラクティスを公開している。

12月28日、29日に更新を行い以下の内容を追記している。

  • 設定確認方法が不明な場合は担当営業、サポートまで問合せしてほしいこと。
  • 2016年の製品アップデートに際し、ゲストユーザー権限の共有関係設定に変更があったという事実はないこと。
  • ゲストユーザーの共有設定が顧客の要件に遭っているかは各自確認を行う必要があること。
  • 該当製品利用を行っているかは次のページで確認ができること。

設定不備起因のインシデントを報告した2社

報道によれば、Salesforceの営業管理システムを利用していたとして楽天、PayPayの名前が挙げられていた。*1 *2

2社の内容をまとめると次の内容となった。

対象組織 原因 事態把握日 最大流出可能性件数
PayPay 対象情報へのアクセス権限の設定不備
(2020年10月18日~12月3日)
2020年12月1日(外部連絡で把握) 20,076,016件
楽天
楽天カード
楽天Edy
社外クラウド型営業管理システム利用におけるセキュリティ設定不備
(2016年1月15日~2020年11月26日)
2020年11月24日(外部連絡で把握) 楽天:1,381,735件(内208件アクセス確認)
楽天カード:15,415件(内304件アクセス確認)
楽天Edy:89,141件(内102件アクセス確認)

2社とも外部からのアクセス行為が既に確認されていると発表している。

  • PayPayはブラジルを発信元とするアクセス履歴を1件確認している。
  • 楽天は楽天カード、楽天Edyが管理する一部情報に第三者からの海外からのアクセスがあったことを確認している。

さらにSalesforceか明らかにされていないが、2社同様にSophosも11月末に外部の連絡で発覚した設定不備による顧客情報の誤った公開が報じられている。

金融庁が注意喚起
  • Salesforceの件に対して、12月17日付で金融庁が注意喚起を出していたと報じられた。*3
  • 複数の条件が重なるとSaleseforce上の情報を第三者がゲストユーザー権限で閲覧することが可能というもの。
  • 条件を満たすサービスを提供していた金融機関は財務局へ報告するよう指示も行っている。

Lightningの提供開始が発端か

2020年10月9日にSalesforce Lightningの設定不備に起因する問題を取り上げたAaron Costello氏の記事が公開されていた。*4
Salesforce Lightning - An in-depth look at exploitation vectors for the everyday community
Salesforce Lightning - Tinting the Windows (フォローアップ記事)

  • ゲストユーザー権限でAura APIに接続し、Objectのレコード取得を行う手順が詳細に解説されている。
  • 記事ではSalesforce Lightningで見られる一般的な設定ミスとしており、この問題はゼロデイ(未知の脆弱性)ではなく、既定ではこの問題の影響を受けないと説明している。ただし、古いリリースが含まれるインスタンスでは最新のセキュリティ更新プログラムを自身で適用する必要があると指摘している。
2016年のアップデート

楽天は2016年のSalesforceのアップデートにより影響を受けたことが報じられている。*5

  • 楽天の発表では「可能性のあった期間」の開始日がいずれも2016年1月15日となっていたため影響を受け始めたのはこの日だと推測できるが、発端となったアップデートについて同日に関係が考えられるリリースは公開情報からは確認ができなかった。
  • 先のAaron Costello氏の記事で取り上げられたSalesforce Lightningは2015年8月15日に公開時期などが発表されている。発表ではSales Cloud向けには2015年10月以降開始の他、Components for Lightning Experienceは2016年第1四半期の一般提供開始がアナウンスされていた。

Spring'19のリリースではゲストユーザーのLightning機能へのアクセス制御設定が追加されている。

  • この時点でゲストユーザーのLightning機能のアクセスが既定で可能であることが説明されている。
  • 無効化には対象のサイトにおいて「ゲストユーザのLightning機能」の選択を解除する必要がある。
  • ゲストユーザーに起因する脆弱性の報告も行われており、ゲストユーザーの権限に対してアップデートで度々制限の強化が行われている。一方で、Salesforce Lightningに関連したアクセス制御の情報がユーザーへ当時どの程度共有されていたのかは確認ができなかった。
影響を受けるか確認するには

次の全ての条件に該当する場合、Aaron Costello氏の記事で指摘された問題の影響を受ける恐れがある。

  • Salesforceのサイトが有効であること
  • 「ゲストユーザのLightning機能」を無効に変更していないこと
  • ゲストユーザー権限でObjectの参照が可能となっていること
条件に該当する場合

まず次の対応を行う。

  • 「ゲストユーザのLightning機能」の無効化
  • 被害確認の調査支援を受けられるか、セールスフォースドットコムへ相談

恒常的な対策として、ゲストユーザーの権限設定の見直しを行うことが望ましい。以下参考記事。

更新履歴

  • 2020年12月28日 AM 新規作成
  • 2020年12月29日 PM 続報追記(金融庁の注意喚起など)
  • 2021年1月1日 AM 続報追記(セールスフォースドットコムのリリース更新を追記)

*1:楽天情報流出、クラウドミス5年気づかず ECに冷や水,日本経済新聞,2020年12月26日

*2:楽天だけでなくPayPayでも、セールスフォース製品の設定不備を狙った不正アクセス,日経クロステック,2020年12月26日

*3:金融庁の注意喚起で金融機関が対応急ぐ、セールスフォース製品への不正アクセスで,日経クロステック,2020年12月29日

*4:PayPayの件以降、この記事をツイートする日本関係のアカウントも複数確認したが因果関係は不明。

*5:楽天で最大148万件の顧客情報が流出か、セールスフォースのシステム設定を誤る,日経クロステック,2020年12月25日