PayPay、楽天、イオン銀行…顧客関係管理ソリューション「Salesforce」の設定不備相次ぐ

コラム NO IMAGE

 PayPayは、ソフトバンクとヤフーの合弁会社、PayPay株式会社が運営しているキャッシュレス決済サービスです。スマホで決済することができ、クレジットや銀行口座に紐づけて決済するほか、コンビニATMからチャージをして決済することも出来るようです。PayPay株式会社が「当社管理サーバーのアクセス履歴について」というお知らせを発表したのは昨年12月7日のことでした。

PayPayへの不正アクセス、情報流出問題が…

 昨年12月7日にPayPayが発表したお知らせには、PayPay株式会社が管理するサーバーのアクセス履歴にブラジルからの不正なアクセス履歴が1件あり、このアクセスを遮断したことが報告されています。ユーザーを管理するサーバーは別にあり、不正アクセスを受けたのは加盟店の営業情報のデータ。加盟店の情報や加盟店向けアンケート回答者の氏名や電話番号、メールアドレスなど最大約2007万件の情報が漏えいした可能性があるということでした。さらに原因について、アクセス権限の設定不備と記されていました。この件は多くのメディアで報道されましたが、PayPayが不正アクセスを受けて情報が流出した可能性があるという内容だったと思います。

 この問題は、12月8日に行われた閣議後の会見で新聞記者の質問にあがり、加藤勝信官房長官は次のように発言してメディアで報道されました。

 「きのうPayPay社が情報のアクセス権限の設定不備により帰属加盟店や加盟店見込み先に関する情報が外部からアクセス可能な状態となっており、こうした中で不正アクセスを受けた旨を公表したことは承知をしているところであります。~略~新型コロナ感染症の影響も踏まえて実店舗において現金に触れないため衛生的という観点も含めてキャッシュレス決済には注目が集まり、活用が進められているわけでありまして、そうした中においてキャッシュレス決済を消費者や加盟店が信頼して活用できる環境整備をしていくことが大事であります。その上で情報の適切な管理は極めて重要な課題であります。現在、金融庁、経済産業省、NISCが連携して詳細な事実関係および事案の発生原因の確認に着手をしているところであります。確認結果を踏まえて必要な再発防止策を求めていきたいと考えています」

内閣サイバーセキュリティセンターが注意喚起の事態

 PayPayの情報流出に対する政府発言の背景には、昨年9月に発覚したドコモ口座やPayPayなどキャッシュレス決済サービスを介した金融機関口座からの不正出金と、それに伴うキャッシュレス決済におけるサイバーセキュリティ上の問題があったかと思います。しかし、この問題は単にキャッシュレス決済サービスという特定のサービスにとどまりませんでした。

 インターネットサービスの楽天株式会社は昨年12月25日、社外のクラウド型営業管理システムのセキュリティ設定の不備により、2016年1月15日から2020年11月24日までの間に同システムに保管されていた情報に300件を越す不正アクセスがあり、最大約148万件の情報が漏えいした可能性があることを公表しました。同日、株式会社セールスフォース・ドットコムが「本件は、当社製品の脆弱性に起因するものではなく、ゲストユーザーに対する情報の共有に関する設定が適切に行われていない場合に発生する」などとしたお知らせを発表したことから楽天の問題が株式会社セールスフォース・ドットコムの顧客関係管理ソリューション「Salesforce」の設定不備に起因することが明らかになり、PayPayについても、同社は正式に明らかにしていませんが、Salesforceの設定不備に起因することが報道等により明らかになりました。

 1月29日にはNISC(内閣サイバーセキュリティセンター)が、「Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性について」という文書を発出、株式会社セールスフォース・ドットコムが提供する顧客関係管理ソリューション「Salesforce」にはデータのアクセス権などの設定不備により、外部から情報が参照される可能性があるとして注意を呼びかける事態となりました。この問題は、イオン銀行やクラウド会計ソフトのfreee、自治体向けクラウドサービスにも及んでいて問題が広がっています。楽天はこの問題が発覚した経緯について、社外のセキュリティ専門家の指摘により判明したとお知らせの中で明らかにしています。

■出典

https://paypay.ne.jp/notice/20201207/02/

https://www.kantei.go.jp/jp/tyoukanpress/202012/8_a.html

https://corp.rakuten.co.jp/news/update/2020/1225_01.html?year=2020&month=12&category=corp%20ec%20fintech

https://www.nisc.go.jp/active/infra/pdf/salesforce20210129.pdf

https://corp.freee.co.jp/news/system-research.html

https://www.aeonbank.co.jp/news/2021/0222_01.html

https://www.salesforce.com/jp/company/news-press/stories/salesforce-update/

NO IMAGE
最新情報をチェックしよう!