SMBC信託銀のクラウド設定ミス、暗号化暗証番号が平文で閲覧も

SMBC信託銀によると、問題のデビット用暗証番号は、データベースに暗号化された状態で保存されており、権限が与えられた担当者がアクセスした場合にのみ復号された状態で表示されるよう設定していた。

権限不備の発覚後、同社ではログを確認し、データを要求するクエリに暗証番号が含まれていたことから、データベース内部に保存されている内容について調べたところ、暗証番号は暗号化された状態で保存されていることが確認できたため、暗証番号が平文で流出した認識はなかった。

しかし、今回セールスフォースより示されたアクセス経路よりデータベースを参照した場合、暗号化されたデータについても、復号化されて平文で参照できることが判明。2020年11月8日、12月3日に行われた2回のアクセスも、平文で表示される経路よりアクセスされていたことがわかった。

アクセス経路について、開発者向けに用意されたものとの説明をセールスフォースから受けたとしており、開発者向けのAPIなどを通じてアクセスを受けた可能性がある。全般的な外部からのアクセス権限は、今回明らかとなった経路も同社による設定に依存しており、同社が問題を把握し、設定を修正した2月11日以降は、外部から閲覧できない状態となっている。

SMBC信託銀は、今回判明したアクセス経路について、利用者向けに提供されているマニュアルに記載がなく、調査時に提供を受けたログもデータベースに対するクエリで経路などを示す情報は含まれておらず、暗号化されたデータを平文で参照されたことを当初想定できなかったと釈明している。

（Security NEXT - 2021/04/01 ） ツイート

PR

関連記事

クラウド設定不備で顧客情報約11万件が閲覧可能に、流出は1件 - ホーユー
外部クラウド利用したカードローン申込窓口に設定不備 - 三井住友信託銀
「Salesforce」設定不備で顧客情報に外部アクセス - 静岡銀
「Salesforce」で設定不備、外部アクセスにより情報が流出 - JICA
SMBCグループ2社、クラウド設定不備で顧客情報に外部アクセス - バグで対象者特定できず
「Salesforce」のアクセス権限設定で不備 - コナミ関連2社
クラウド顧客管理システムに設定不備、調査で判明 - ホーユー
クラウド設定不備による情報流出は発生せず - freee
クラウド設定不備で個人情報に外部アクセス - イオン銀
「Salesforce」ベースの自治体向けサービスで設定不備 - 71団体が導入