「Salesforce」設定不備で顧客情報に外部アクセス - 静岡銀

他社において、「Salesforce」の設定ミスが判明したことから、同行では2020年12月に調査を実施。調査当時に入力された情報について、外部より閲覧できないことを確認したが、以降も他社で設定不備の発表が相次いだため、2021年2月初旬より再度調査を行ったところ、7月19日以前に入力された情報については、外部より閲覧できる状態だったことが判明した。

2月の再調査から発表までに約2カ月を要したが、同行は情報やログの入手、セカンドオピニオンなど実施したほか、顧客への連絡などを行っていたため、時間を要したという。

他社において、同クラウドサービス上で暗号化して保存していた情報が、特定の経路よりアクセスすると平文で閲覧できたケースが判明しているが、同行はこうした事例も踏まえて調査を行い、「暗証番号」「パスワード」を第三者が閲覧できないことを確認したと強調した。

同行では、対象となる顧客に経緯を説明して謝罪。また本人確認書類に関しては、異なるシステムで管理しており、第三者によるアクセスの心配はないとしている。

（Security NEXT - 2021/04/23 ） ツイート

PR

関連記事

クラウド設定不備で顧客情報約11万件が閲覧可能に、流出は1件 - ホーユー
外部クラウド利用したカードローン申込窓口に設定不備 - 三井住友信託銀
SMBC信託銀のクラウド設定ミス、暗号化暗証番号が平文で閲覧も
「Salesforce」で設定不備、外部アクセスにより情報が流出 - JICA
SMBCグループ2社、クラウド設定不備で顧客情報に外部アクセス - バグで対象者特定できず
「Salesforce」のアクセス権限設定で不備 - コナミ関連2社
クラウド顧客管理システムに設定不備、調査で判明 - ホーユー
クラウド設定不備による情報流出は発生せず - freee
クラウド設定不備で個人情報に外部アクセス - イオン銀
「Salesforce」ベースの自治体向けサービスで設定不備 - 71団体が導入