Salesforceのソフトウェアの設定ミスにより個人情報が漏えいする可能性があるとセキュリティ研究者が指摘
by Alpha Photo
クラウドベースの顧客関係管理(CRM)ソリューションサービス大手のSalesforceが提供するソフトウェア「Salesforce コミュニティ」が動作しているサーバーから顧客の住所や氏名などの個人情報が漏えいしている可能性が指摘されています。
Many Public Salesforce Sites are Leaking Private Data – Krebs on Security
https://krebsonsecurity.com/2023/04/many-public-salesforce-sites-are-leaking-private-data/
Sensitive data is being leaked from servers running Salesforce software | Ars Technica
https://arstechnica.com/information-technology/2023/04/misconfigured-servers-running-salesforce-software-are-leaking-sensitive-data/
今回情報漏えいが指摘されているのは、Salesforceが提供するクラウドベースのソフトウェア製品「Salesforce コミュニティ」です。Salesforce コミュニティでは、コミュニティの管理者がゲストアクセス機能を使用することで、認証されていないユーザーに対しても公開情報を表示することができます。
しかし、Salesforce コミュニティでは、コミュニティ管理者が誤ってゲストユーザーに内部リソースのアクセス権を付与してしまうことがあり、その結果権限のないユーザーが組織の機密情報や個人情報にアクセスし、データ漏えいを引き起こす可能性が指摘されています。
セキュリティ研究者のブライアン・クレブス氏は「アメリカのバーモント州が運営する、少なくとも5つのサイトではSalesforce コミュニティが使用されており、誰でも機密データへのアクセスが許可されています」と報告しています。クレブス氏は「バーモント州の新型コロナウイルスの流行に伴う、失業支援プログラムでも機密データへのアクセスが許可されており、申請者の氏名や社会保障番号、住所、電話番号、メールアドレス、銀行口座番号が筒抜けになっています」と述べています。
また、オハイオ州を拠点とする銀行持株会社のハンティントン・バンクシェアーズは、Salesforce コミュニティを導入して商業ローンを処理しているTCFフィナンシャルを買収しましたが、TCFフィナンシャルのSalesforce コミュニティからは顧客の氏名や社会保障番号、住所、役職、連邦ID、IPアドレス、月平均給与、ローン金額が誰でも閲覧できる状態でした。
クレブス氏がバーモント州とハンティントン・バンクシェアーズにコメントをを求めたことで両者は情報漏えいの事実に気付き、即座に機密情報へのパブリックアクセスを削除しました。
Salesforceはクレブス氏に対して「私たちはすでに認証されていないゲストユーザーに対して、どのデータにアクセスできるか指定できるSalesforceコミュニティの設定についての明確で強固なツールガイダンスを顧客に対して提供しています」と述べています。
一方でバーモント州の最高情報セキュリティ責任者であるスコット・カービー氏はクレブス氏に対して「Salesforce コミュニティの緩い態勢に危機感を感じています」と述べています。また「私たちの中にはSalesforceのネイティブ開発者がいませんでしたが、新型コロナウイルスの流行に伴って事前検証なしにただちにサイトを立ち上げる必要がありました」と報告しています。
by ajay_suresh
ハンティントン・バンクシェアーズの副最高情報セキュリティ責任者であるマシュー・ジェニングス氏は「当社はSalesforce コミュニティにおける設定ミスの経緯や期間、漏えいの規模について調査中です」と述べています。
Salesforce コミュニティの設定ミスによる情報漏えいが行われている何百もの組織を特定したセキュリティ研究者のチャラン・アキリ氏は「2023年の1月から2月にかけて、私は政府機関といくつかの企業に対して設定ミスによる情報漏えいが行われている可能性を通達しましたが、これらの組織からは何の応答もありませんでした」と報告。さらに「通達した複数の企業や政府機関のうち、実際に問題を解決した企業はたったの5社だけでした」と述べています。
Salesforceは「私たちは引き続き顧客の皆さまと積極的なコミュニケーションを行い、顧客の皆さまが利用可能な機能と、セキュリティや契約、法規制上の義務を果たすことが可能なSalesforceのインスタンスを最適に保護する方法の周知に努めます」と発表しています。
・関連記事
Salesforceが従業員の約10%を解雇し一部のオフィスを閉鎖すると発表 - GIGAZINE
AWSアカウント攻撃ツールをSalesforceがリリースするも速攻で削除される - GIGAZINE
Slackが約2兆8900億円でSalesforceに買収される - GIGAZINE
世界を席巻するCRMアプリ「Salesforce」はなぜここまで成功できたのか? - GIGAZINE
・関連コンテンツ