piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Salesforceの設定不備に起因した外部からのアクセス事案についてまとめてみた

2020年12月25日、セールスフォースドットコムは一部製品、または機能を利用するユーザーにおいて、Salesforce上の組織の一部情報が第三者より閲覧できる事象が発生していると案内を掲載しました。また、12月に入り外部への情報流出の可能性を発表した楽天、PayPayがこの影響を受けたユーザーに含まれていたことが報じられています。ここでは関連する情報をまとめます。

設定不備で第三者からの情報閲覧事象が発生

www.salesforce.com
セールスフォースドットコムが公開したリリースをまとめると以下の通り。

  • 影響を受ける対象機能、製品はExperience Cloud(旧 Community Cloud)、Salesforceサイト、Site.com。
  • 既に当該機能、製品利用組織において第三者による閲覧行為が発生している。
  • 脆弱性起因の問題で生じた事象ではなく、ゲストユーザーに対する情報共有に関する設定が適切に行われていない場合に起こる。
  • ユーザーに対し、メール、コミュニティグループ、自社社員を通じて連絡を行っている。

またユーザーに対しゲストユーザーに対する共有設定の確認を呼び掛けており、以下のベストプラクティスを公開している。

12月28日、29日に更新を行い以下の内容を追記している。

  • 設定確認方法が不明な場合は担当営業、サポートまで問合せしてほしいこと。
  • 2016年の製品アップデートに際し、ゲストユーザー権限の共有関係設定に変更があったという事実はないこと。
  • ゲストユーザーの共有設定が顧客の要件に遭っているかは各自確認を行う必要があること。
  • 該当製品利用を行っているかは次のページで確認ができること。

設定不備起因のインシデントを報告した組織

報道によれば、2月4日までにSalesforceの営業管理システムを利用していたとして5組織の名前が挙げられている。*1 *2 *3 *4

各組織の発表内容をまとめると次の内容となった。

対象組織 原因 事態把握日 最大流出可能性件数
PayPay 対象情報へのアクセス権限の設定不備
(2020年10月18日~12月3日)
2020年12月1日(外部連絡で把握) 20,076,016件
楽天
楽天カード
楽天Edy
社外クラウド型営業管理システム利用におけるセキュリティ設定不備
(2016年1月15日~2020年11月26日)
2020年11月24日(外部連絡で把握) 楽天:1,381,735件(内208件アクセス確認)
楽天カード:15,415件(内304件アクセス確認)
楽天Edy:89,141件(内102件アクセス確認)
イオン 問合わせフォームにおけるセキュリティの設定不備
(2014年9月17日~2021年1月4日16時)
2021年1月3日(外部連絡で把握) 859件
(2014年9月17日~2014年10月20日)
イオン銀行 外部のクラウド型システムの設定の不備 -(他社発生を受け独自調査で把握) 2,062件
以下を含む
電話番号 608件、メールアドレス 49件、お客さま管理番号 227件、弊行口座の有無 779件、来店希望店舗名/日時 15件、相談内容(商品・サービス名等)13件
国際観光振興機構 機構外のクラウド型情報管理システムで第三者によるアクセスが可能な状態に設定
(2015年8月25日~2021年1月12日)
2021年1月12日 49,774件(発表時点での不正アクセス確認無し)
バンダイ クラウド型営業管理システムのセキュリティ設定の不備
(2020年12月18日~2021年1月3日)
2021年1月3日(外部連絡で把握) 147件
東邦ガス クラウド型システムの設定不備 167件(発表時点のアクセス確認無し)
freee クラウド型お問い合わせ管理システムの利用における権限設定の不備
(2020年1月29日~2021年2月9日)
2021年2月10日 その後の調査より第三者によるアクセスは認められなかった。
WaterAid クラウド型管理システムのセキュリティシステムの設定に関する問題
(2016年9月5日~2020年7月19日)
2021年1月6日(外部連絡で把握) 5151件
コナミ クラウド型顧客管理システムの設定不備 2021年1月4日(外部連絡で把握) 35件
コナミデジタルエンタテインメント 28件
コナミアミューズメント 7件
(ID、メールアドレス、電話番号)
ホーユー クラウド型顧客管理システムのアクセス制御権限の設定不備
(2017年11月20日~2021年2月17日)
2021年2月16日(代理店調査で把握) 3109件
SMBC信託銀行 クラウド型口座開設システムのアクセス権設定の不備
(2017年7月24日~2021年2月11日)
37,176件
この内、最大101件の口座開設に必要な情報が流出
氏名、性別、生年月日、電話番号、メールアドレス、住所、勤務先、デビット用暗証番号(暗号化済)等
SMBC日興証券 クラウド型口座開設システムのアクセス権設定の不備
(2019年12月16日~2021年2月11日)
2021年2月11日 延べ81,588件
この内、50件の氏名、メールアドレスが流出。
国際協力機構 クラウド型システムの設定の不備 2021年1月7日(他社発生を受け独自調査で把握) 8,418件
氏名、生年月日、住所、電話番号、メールアドレス、所属先に関する事項、登録に関する事項(目的、希望勤務地等)、勤務経験に関する事項等
朝日新聞厚生文化事業団 特殊な方法によりアクセス可能な状態 2021年1月 4件
(登録日、寄付者名、入金日、支援金額、入金方法、郵便番号、住所、電話、メールアドレス、ログなど)

各組織とも外部からのアクセス行為が既に確認されていると発表している。

  • PayPayはブラジルを発信元とするアクセス履歴を1件確認している。
  • 楽天は楽天カード、楽天Edyが管理する一部情報に第三者からの海外からのアクセスがあったことを確認している。
  • イオンは海外から同一者の2回のアクセスを確認している。
  • SMBC信託銀行はログが確認できた約3年間の中で不正アクセスが2回行われていたことを確認している。
両備システムズ導入の複数自治体にも影響

同社の次のサービスを導入する団体で影響が出ていることが確認されている。

  • Web住民けんしん予約
  • 住民生活総合支援アプリ「i-Blend」
  • 緊急通報システム「Net119」

影響を受けたとして公表している自治体などは以下の通り。同社によると71団体が導入しており、その内、13団体で被害が確認されている。

両備システムズの委託先か明記がない自治体の事例は以下。

デビットカード用暗証番号が見られた恐れ
  • SMBC信託銀行はその後の調査でデビットカード用に設定された暗証番号が外部アクセスした第三者に閲覧された可能性があると発表した。
  • 閲覧された原因は暗号化済みの番号を復号され閲覧された可能性があるため。
  • 対象者数は101名と公表されるも、具体的に誰が対象となったかについてはログ解析の技術的な問題を理由として判明していないと説明。
  • この暗証番号はデビットカード利用時に使用するもので、それ単体で使うことはなく、また今回の影響を受けた対象にはキャッシュカードや電話取引用の暗証番号は含まれていない。

クラウド型口座開設システムへの第三者のアクセスについて

金融庁が注意喚起
  • Salesforceの件に対して、12月17日付で金融庁が注意喚起を出していたと報じられた。*7
  • 複数の条件が重なるとSaleseforce上の情報を第三者がゲストユーザー権限で閲覧することが可能というもの。
  • 条件を満たすサービスを提供していた金融機関は財務局へ報告するよう指示も行っている。
NISCが注意喚起

[PDF] Salesforce の製品の設定不備による意図しない情報が外部から参照される可能性について

  • Salesforceの件に対して、1月29日付で重要インフラ事業者などに対し同社製品の設定不備に関する意図しない情報参照の可能性について注意喚起を行った。

Lightningの提供開始が発端か

2020年10月9日にSalesforce Lightningの設定不備に起因する問題を取り上げたAaron Costello氏の記事が公開されていた。*8
Salesforce Lightning - An in-depth look at exploitation vectors for the everyday community
Salesforce Lightning - Tinting the Windows (フォローアップ記事)

  • ゲストユーザー権限でAura APIに接続し、Objectのレコード取得を行う手順が詳細に解説されている。
  • 記事ではSalesforce Lightningで見られる一般的な設定ミスとしており、この問題はゼロデイ(未知の脆弱性)ではなく、既定ではこの問題の影響を受けないと説明している。ただし、古いリリースが含まれるインスタンスでは最新のセキュリティ更新プログラムを自身で適用する必要があると指摘している。
2016年のアップデート

楽天は2016年のSalesforceのアップデートにより影響を受けたことが報じられている。*9

  • 楽天の発表では「可能性のあった期間」の開始日がいずれも2016年1月15日となっていたため影響を受け始めたのはこの日だと推測できるが、発端となったアップデートについて同日に関係が考えられるリリースは公開情報からは確認ができなかった。
  • 先のAaron Costello氏の記事で取り上げられたSalesforce Lightningは2015年8月15日に公開時期などが発表されている。発表ではSales Cloud向けには2015年10月以降開始の他、Components for Lightning Experienceは2016年第1四半期の一般提供開始がアナウンスされていた。

Spring'19のリリースではゲストユーザーのLightning機能へのアクセス制御設定が追加されている。

  • この時点でゲストユーザーのLightning機能のアクセスが既定で可能であることが説明されている。
  • 無効化には対象のサイトにおいて「ゲストユーザのLightning機能」の選択を解除する必要がある。
  • ゲストユーザーに起因する脆弱性の報告も行われており、ゲストユーザーの権限に対してアップデートで度々制限の強化が行われている。一方で、Salesforce Lightningに関連したアクセス制御の情報がユーザーへ当時どの程度共有されていたのかは確認ができなかった。
影響を受けるか確認するには

次の全ての条件に該当する場合、Aaron Costello氏の記事で指摘された問題の影響を受ける恐れがある。

  • Salesforceのサイトが有効であること
  • 「ゲストユーザのLightning機能」を無効に変更していないこと
  • ゲストユーザー権限でObjectの参照が可能となっていること
条件に該当する場合

まず次の対応を行う。

  • 「ゲストユーザのLightning機能」の無効化
  • 被害確認の調査支援を受けられるか、セールスフォースドットコムへ相談

恒常的な対策として、ゲストユーザーの権限設定の見直しを行うことが望ましい。以下参考記事。

更新履歴

  • 2020年12月28日 AM 新規作成
  • 2020年12月29日 PM 続報反映(金融庁の注意喚起など)
  • 2021年1月1日 AM 続報反映(セールスフォースドットコムのリリース更新を追記)
  • 2021年1月30日 AM 続報反映(NISC注意喚起、イオンなど)
  • 2021年2月4日 AM 続報反映(JNTO、バンダイなど)
  • 2021年2月25日 AM 続報反映(両備システムズなど)
  • 2021年3月5日 PM 続報反映(ホーユー、コナミなど)
  • 2021年3月18日 PM 続報反映(SMBC信託銀行、JICAなど)
  • 2021年3月19日 PM 続報反映(朝日新聞厚生文化事業団)
  • 2021年4月1日 PM 続報反映(SMBC信託銀行)