クラウド設定不備で顧客情報に外部アクセス - 琉球銀

申し込み時に入力されたキャッシュカードの暗証番号は、取引成立後に同行が暗号化し、保存するしくみだが、取引不成立となったために暗号化されていない暗証番号1件がシステム上に残っていたほか、取引成立後に削除されるオンラインバンキングのログオンパスワード2件やVisaデビットカードの暗証番号1件なども平文のまま、残存していた。

同行では、2020年12月の金融庁による注意喚起があり、同じクラウドサービスの複数利用者において事故が確認されていたことや、1月29日に内閣サイバーセキュリティセンター（NISC）より注意喚起が行われたことを受け、2月に保守事業者へ調査を依頼。ログが必要となり、セールスフォースへログ提供を要請していたが、提供を受けたのは5月になってからで、6月7日に外部からのアクセスが判明したという。

同月18日に対象者や原因などの報告があり、詳細が判明。同月21日より対象となる顧客へメールや文章を送付し、経緯の報告を行った。

同行では、今回の問題を受けて「りゅうぎんWeb申込サイト」と、同じシステムを利用する「来店予約サービス」を一時停止。2021年2月以降のアクセス状況や、ほかに設定の不備など生じていないか、確認作業を進めている。

（Security NEXT - 2021/06/28 ） ツイート

PR

関連記事

クラウド設定不備で顧客情報約11万件が閲覧可能に、流出は1件 - ホーユー
外部クラウド利用したカードローン申込窓口に設定不備 - 三井住友信託銀
「Salesforce」設定不備で顧客情報に外部アクセス - 静岡銀
SMBC信託銀のクラウド設定ミス、暗号化暗証番号が平文で閲覧も
「Salesforce」で設定不備、外部アクセスにより情報が流出 - JICA
SMBCグループ2社、クラウド設定不備で顧客情報に外部アクセス - バグで対象者特定できず
「Salesforce」のアクセス権限設定で不備 - コナミ関連2社
クラウド顧客管理システムに設定不備、調査で判明 - ホーユー
クラウド設定不備による情報流出は発生せず - freee
クラウド設定不備で個人情報に外部アクセス - イオン銀