知って得するセキュリティのはなし その94
楽天グループ管理の情報148万件以上、外部からアクセス可能な状態に…原因はクラウドサービスの設定不備
1.このニュースをざっくり言うと
- 12月25日(日本時間)、楽天より、同社およびグループ2社が保管していた個人情報等のべ148万件以上について、第三者からアクセスされた可能性があると発表されました。
- 被害を受けたのは、同社「楽天市場」の法人向け資料を請求した企業・店舗の名称・住所・代表者名・担当者名・電話番号・メールアドレス等最大1,381,735件、「楽天カード」の事業者向けローンを申し込んだ法人または個人事業主の情報・代表者および保証人の個人情報等最大15,415件、「楽天Edy」で故障した端末の残高移行サービスを申し込んだ個人氏名・端末の電話番号・Edy番号等最大89,141件とされています。
- 2016年1月以降、社外のクラウド型営業管理システムに保管されていた情報に外部からアクセス可能な状態にあったとされ、11月24日に外部からの指摘を受け同26日までに設定の変更を完了していますが、前述の情報のうち614件について海外からのアクセスが確認されたとのことです。
2.執筆者からの所感等
- 管理システムについては楽天からの発表での明言はなかったものの、Salesforce社のサービスであることが報じられており、2016年にSalesforce側でデフォルトのセキュリティ設定が変更された後、楽天側で再設定を行っていなかったとされています(https://xtech.nikkei.com/atcl/nxt/news/18/09411/ )。
- 多少異なるケースではありますが、社外ネットワーク上に構築していたデータベースサーバーに保存していた内部情報が、アクセス制限設定のミスで第三者からアクセス可能な状態にあったという事例も、例えば2019年7月に本田技研工業(AUS便り 2019/8/5号参照)において発覚しています。
- 大手企業からの個人情報流出が特に頻繁に報じられている昨今においては、ここで挙げた大規模なサービスから、小さいものではそれこそ個人のSNSやWebカレンダー等に至るまで、各種情報の公開・非公開設定を確実に行い、かつそれが適切に機能しているか確認することは肝要であり、また最初の一回だけ設定を行っていれば良いとするのではなく、サービス提供者からの設定変更等の告知に対しても適切に対応することが不可欠です。