楽天 クラウド型営業管理システムへの社外の第三者によるアクセスについて

クラウド型営業管理システムへの社外の第三者によるアクセスについて


2020年12月25日 楽天株式会社

このたび、楽天株式会社および楽天カード株式会社、楽天Edy株式会社は、社外のクラウド型営業管理システムに保管された一部の情報に対する社外の第三者からのアクセスを確認しました。本件を受け、各社では当該システムの設定変更を2020年11月26日(木)までに完了し、社外の第三者からのアクセス状況について調査を行っています。

2020年11月24日(火)、社外のセキュリティ専門家の指摘により、社外のクラウド型営業管理システムに保管された一部の情報が、社外の第三者からアクセスできる状態であったことが判明しました。同日、社内のセキュリティ専門部署が中心となり、当社および楽天カード、楽天Edyにおける対応を開始し、当該システムの設定変更を11月26日(木)までに完了しています。

 また、当該システムに対する社外の第三者からのアクセス状況について調査を行った結果、現時点では当社および楽天カード、楽天Edyが管理する一部の情報に、社外の第三者による海外からのアクセスがあったことを確認しております。

応急対応と再発防止について、

4.現時点で実施している対応
各社にて、以下の対応を実施しました。

(1)当該システムの設定変更
2020年11月26日(木)までに各社において、社外の第三者によるアクセスを防止するため、当該システムの設定変更を行いました。設定変更後、社外の第三者からのアクセスは確認されておりません。

(2)情報が閲覧された可能性がある法人・個人のお客様へのご案内
楽天市場、楽天カード、楽天Edyの各サービスにおいて、法人・個人のお客様に対して本件の概要および被害に遭われた際のお問い合わせ先のご案内等を行ってまいります。

(3)監督官庁および個人情報保護委員会への報告
社内調査結果をもとに、楽天カード、楽天Edyより各監督官庁へ、当社より個人情報保護委員会へ報告を行いました。

6.再発防止策 楽天グループでは今回の事態を厳粛に受け止め、社外のクラウド型営業管理システムの利用に対するセキュリティ管理の強化および定期的な見直し等を行い、再発防止に努めてまいります。


ほぼ同じタイミングで、
【お知らせ】当社一部製品をご利用のお客様における ゲストユーザに対する共有に関する設定について

2020年12月25日 株式会社セールスフォース・ドットコム

このたび、当社の一部製品または機能(Experience Cloud〔旧 Community Cloud〕、Salesforceサイト、Site.com)を利用されているお客様において、お客様の利用するSalesforce上の組織の一部の情報が第三者から閲覧できる事象が発生しているとの報告をお客様からいただきました。
本件は、当社製品の脆弱性に起因するものではなく、ゲストユーザに対する情報の共有に関する設定が適切に行われていない場合に発生する事象であることが確認されています。ゲストユーザに対する共有に関する設定がお客様の用途に沿った設定になっているかどうかはお客様にご確認いただく必要がございます。

なお、お客様において適切なゲストユーザの共有に関する設定をしていただくためのベストプラクティスガイド(当社が推奨する設定対応)は以下の通りです。

ゲストユーザセキュリティポリシーのベストプラクティス
https://help.salesforce.com/articleView?siteLang=ja&id=000355945&type=1&mode=1

メモ
関係性があるかどうかは分からないが、下記twitterの紹介で
https://twitter.com/piyokango/status/1342596613823373312
https://twitter.com/piyokango/status/1342596670693904384
Salesforceのゲストユーザの共有設定に対して詳細の解説があったようです。
https://www.enumerated.de/index/salesforce Oct 9, 2020
https://www.enumerated.de/index/salesforce-lightning-tinting-the-windows Dec 16, 2020