外部クラウド利用したカードローン申込窓口に設定不備 - 三井住友信託銀

三井住友信託銀行は、ウェブサイトに設置していたカードローンの申し込み窓口で利用する外部クラウドサービスに設定の不備があり、一部申込者情報が外部よりアクセスされたことを明らかにした。

同行が利用するセールスフォース・ドットコムの「Salesforce」において、アクセス権限の設定に問題があり、2016年12月27日から2020年7月18日にかけて、同行ウェブサイトよりカードローンを申し込んだのべ2101人分の顧客情報が、外部よりアクセスできる状態となっていたもの。

外部から2020年11月23日、同月25日、2021年1月6日にあわせて5回のアクセスが行われており、2101人のうち102人に関する顧客情報が流出した可能性がある。1人に関しては氏名とメールアドレス、101人に関してはメールアドレスのみとしている。

氏名およびメールアドレス以外のデータに関しては、アクセス権限の設定に問題はなく、外部より閲覧された可能性はないと同行では説明している。

第三者によってアクセスされた101人の特定には至っていない。同行がセールスフォースより提供を受けたログデータには、対象となる顧客を特定するデータは含まれておらず、クラウド側でも対象者を特定するためのデータを保持していないとの回答を受けたという。

（Security NEXT - 2021/05/20 ） ツイート

PR

関連記事

クラウド設定不備で顧客情報約11万件が閲覧可能に、流出は1件 - ホーユー
「Salesforce」設定不備で顧客情報に外部アクセス - 静岡銀
SMBC信託銀のクラウド設定ミス、暗号化暗証番号が平文で閲覧も
「Salesforce」で設定不備、外部アクセスにより情報が流出 - JICA
SMBCグループ2社、クラウド設定不備で顧客情報に外部アクセス - バグで対象者特定できず
「Salesforce」のアクセス権限設定で不備 - コナミ関連2社
クラウド顧客管理システムに設定不備、調査で判明 - ホーユー
クラウド設定不備による情報流出は発生せず - freee
クラウド設定不備で個人情報に外部アクセス - イオン銀
「Salesforce」ベースの自治体向けサービスで設定不備 - 71団体が導入