PayPayの不正アクセスについて

当社管理サーバーのアクセス履歴について


PayPayからのお知らせ 2020.12.07 企業情報

2020年12月1日に外部からの連絡に基づき、当社管理サーバーにある、加盟店に関する営業情報のアクセス履歴について調査したところ、11月28日にブラジルからのアクセス履歴を1件確認、12月3日までに遮断する措置を実施しました。現時点で、これらの情報が利用された事実はありません。なお、ユーザー情報は別のサーバーで管理しているため、本事象における影響はありません。

<アクセスされた可能性のある情報>
(1)加盟店の店名、住所、連絡先、代表者名、代表者生年月日、契約日、売上振込先、営業対応履歴
(2)加盟店営業先の店名、住所、連絡先、代表者名、営業対応履歴
(3)当社従業員の氏名、所属、役職、連絡先
(4)当社パートナー・代理店の社名、連絡先、担当者名、売上振込先
(5)加盟店向けアンケート回答者の氏名、電話番号、メールアドレス
アクセスされた可能性のある最大件数:20,076,016件

原因は、当該情報へのアクセス権限の設定不備です。(不備のあった期間:2020年10月18日~12月3日)
加盟店管理システムにおいて、アクセスモニタリングやシステム変更時の監視を強化します。今回の事象を重く受け止め、再発防止に努めてまいります。

なお、xtech日経より下記の記事も出ています。
楽天だけでなくPayPayでも、セールスフォース製品の設定不備を狙った不正アクセス

セールスフォース・ドットコムの一部のサービスを使う企業に対する不正アクセスを巡って、楽天だけでなくPayPayも被害を受けていたことが2020年12月26日までに分かった。セールスフォースのサービスを使う企業は多く、被害がさらに広がる可能性がある。

 PayPayは2020年12月7日、加盟店に関する営業情報などを管理するシステムが不正アクセスを受けていたと発表していた。日経クロステックの取材で、同システムにセールスフォースのサービスを使っていることが分かった。

関連情報
SalesForce Lightning Platformへの攻撃手法について

感想:
直近のインシデント記事の3つは、全部デフォルト設定値の変更管理に関わるものでした。
東京証券取引所様の株式売買システム「arrowhead」で発生した障害の原因と対策について
楽天 クラウド型営業管理システムへの社外の第三者によるアクセスについて

日経新聞の楽天情報流出、クラウドミス5年気づかず ECに冷や水の記事にあるように、


サイバーセキュリティー対策のラックによると、複数のクラウドサービスを併用する企業が増えたことが情報漏洩が相次ぐ原因だという。
提供する企業が異なるとセキュリティーの設定項目の名称や方法が異なる場合があり、人為的なミスを起こしやすい。

クラウドは定期的に機能をアップデートしなければならず、そのたびに利用企業は多くの設定を確認・変更しなければならない。
複雑になるクラウド管理の対応策として、専門家の間では設定作業の自動化を推奨するケースが多いという。

今回のSalesforceのゲスト設定については、自動化では防げないと思われます。
なぜかというと、インシデント本質は、人的ミスではなく、そもそもゲスト設定の仕様と影響が理解してされてなかったからです。

クラウドサービスの変更に対して、変更管理とセキュリティ担当が共同に作業する仕組みがなければ、今後同じなようインシデントが再発しますから。
 ・変更管理組織/担当は、細い変更に対して、積極的に情報収集し、機能動作や互換性検証を行う。
 ・セキュリティ組織/担当は、ロール設定や監査ログ設定などの確認やモニタリングやスキャンなどを実施し、変更管理に対するセキュリティ許可を出す。
 ・システム管理者は、自動化によるリリース作業を行う。
との役割分担が必要ではないかと思います。