Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

SMBCグループ2社、クラウド設定不備で顧客情報に外部アクセス - バグで対象者特定できず

三井住友フィナンシャルグループ2社において、外部クラウドサービスを利用した口座開設の申し込み窓口においてアクセス権限の設定不備が見つかり、一部顧客情報が流出した可能性があることがわかった。

SMBC信託銀行やSMBC日興証券がウェブサイトに設置していた口座開設のオンライン申し込み窓口で、アクセス権限設定の不備が明らかとなったもの。いずれもセールスフォース・ドットコムが提供するクラウドサービス「Salesforce」を利用していた。いずれも2月11日に修正を終えている。

SMBC信託銀行では、2月8日深夜に外部セキュリティ専門家より、設定の不備に関する可能性について情報提供があり、翌日調査を実施したところ問題が判明した。

アクセスログの解析を行ったところ、2回のアクセスが行なわれており、2020年11月8日に100件、同年12月3日に1件のレコードがデータベースより参照されたことが判明した。またシステムの利用を開始した2017年7月24日から2018年1月31日までについてはログの提供を受けることができず、アクセス状況を確認できなかったという。

一部レコードが表示されたデータベースには、3万7176人分の顧客情報が保存されており、氏名、住所、電話番号、性別、生年月日、メールアドレス、勤務先、暗号化されたデビット用暗証番号が含まれる。

(Security NEXT - 2021/03/11 ) このエントリーをはてなブックマークに追加

PR

関連記事

申込フォームで設定ミス、入力内容が閲覧可能に - シェアリングエコノミー協会
「起業家育成事業」に申し込んだ中学生生徒の個人情報が閲覧可能に - 名古屋市
野球教室応募者の個人情報が閲覧可能に - ホークスのNPO法人
「LINE VOOM」で非公開の友だちに投稿を閲覧される不具合
健康産業支援施設サイトで個人情報が閲覧可能に - 山口県
個人情報誤表示、1647人に影響 - 山口県クラファンサイト
クイズ応募者情報を誤表示、負荷分散サービスの設定ミスで - 岡山放送
自動返信メールで設定ミス、問合メールが全登録者に - トヨクモ
「Salesforce」設定不備で顧客情報に外部アクセス - 静岡銀
訪日外国人向けアンケートの回答内容が閲覧可能に - 中部国際空港