SMBCグループ2社、クラウド設定不備で顧客情報に外部アクセス - バグで対象者特定できず

一方SMBC日興証券では、他社で問題が発生しているとして2月11日にセールスフォースより再調査の要請があり、調べたところ、口座開設窓口「ネットで口座開設」において不備が明らかとなった。

調査を行ったところ、12月24日にデータベース内のレコード50件について閲覧されていたことが判明。データベース内には、のべ8万1588件の顧客情報やテスト入力データが保存されており、氏名やメールアドレスが含まれる。

両社ともに、類似した事故の判明や金融庁による注意喚起を受けて2020年12月に調査を実施していたが、当時の調査で不備は見つからず、問題はないと判断。しかし、いずれも再調査を行ったところ不備を確認した。

両社が利用していたクラウドシステムでは、2020年7月19日にアップデートが実施されており、アップデート以降に入力されたデータはアクセスが制限されていたため、問題がないとの判断に至ったが、アップデート以前に入力されたデータについては外部よりアクセスできる状態だった。

またいずれのケースも、バグにより参照されたレコードが特定できず、対象となる顧客の特定に至らなかったという。両社はデータベース内に個人情報が保存されていた顧客すべてに対し、経緯の説明や謝罪を行っている。

今回の件を受け、三井住友フィナンシャルグループでは、2社以外にグループ会社で同様の事態が生じていないことを確認した。類似した問題が生じないよう、情報共有を行っている。

（Security NEXT - 2021/03/11 ）ツイート