楽天で最大148万件の顧客情報が流出か、セールスフォースのシステム設定を誤る

楽天は2020年12月25日、クラウド型営業管理システムに保管していた情報の一部が社外の第三者から不正アクセスを受けていたと発表した。楽天のほか、楽天カードや楽天Edyも被害に遭い、最大で延べ148万件超の顧客情報が不正にアクセスできる状態だった。日経クロステックの取材で、このクラウド型営業管理システムが米salesforce.com（セールスフォース・ドットコム）のシステムだったことが分かった。 不正アクセスの原因は、楽天がクラウド型営業管理システムのセキュリティー設定を誤ったことにある。2016年に同システムのアップデートがあった際、セキュリティー設定のデフォルト値が変わったという。再設定が必要だったが、できていなかった。2020年11月24日の社外のセキュリティー専門家からの指摘をきっかけに、設定の誤りが判明。社内のセキュリティー専門部署を中心に対応し、2020年11月26日までに正

[tetsutalow]

「2016年に同システムのアップデートがあった際、セキュリティー設定のデフォルト値が変わった」ひえー、こりゃ怖い

[degucho]

東証と同じパターンだけど「リリースノートに書いてあるからお前の責任な」はひどいhttps://www.salesforce.com/jp/company/news-press/press-releases/2020/12/201225/ アラートなら「デフォルト脆弱に倒したからお前ら頑張れ」くらいでないと

[lont_in]

Salesforce「後からデフォルトの設定値が変わっただけで脆弱性じゃなくてお前らの設定不備な」ええんかそれで

[sun330]

セキュリティ設定のデフォルト値を公開側に倒すこと自体、やってはいかん改修だと思うんだが…。

[toro-chan]

それやられると、企業内で、クラウド(セールスフォース)を使おうという機運が消えていくのだが。個人的には消えても問題はないが、大局的に言って、そのまま消えて行っていいのかは疑問がある。

[BHitD]

少し前に金融庁から注意喚起が回ってきてたけど自己責任とはいえこればっかりは楽天に同情する内容だった。他にも同じ設定になってる会社は多いだろうなと。言い訳じみたリリース含めてセールスフォース酷いよ。

[knok]

ファームウェアにしろSaaSにしろdefault bhavior変えるなら強い警告を出してほしいところ

[fa11enprince]

デフォルト値変えるのはクソだが、2016年のアプデの影響放置がやばくね。まともな保守、運用体制が整ってなくて気づけなかったのだと思う。体制がしっかりしてれば気づけたはず。とはいえ楽天気の毒。

[masatomo-m]

Salesforceって独自仕様ロックインの塊なので、導入する時点で開発者や運用部隊とかがまるっと入れ替わりがちなんだよな（それがSF的にはうまい商売）。移行先の部隊がちゃんと仕事してなかったっぽい話かなあ

[kkobayashi]

デフォルト設定がセキュリティ弱い方に変わるとかある？トラップじゃん

[kyohareda-1003]

アップデートによるパスワードの初期化が原因

[kuzumimizuku]

アップデートでデフォルト設定が変わる(そして特に「設定」せずに運用していた場合、その設定に変わる)の、本当にやめてほしい。わりとあるあるすぎて笑えない(件数より重大問題になりやすい印象で目立つ)。

[augsUK]

セキュリティのデフォルトを公開側に倒すのは、通知でOKというレベルではなくその項目のみについて顧客の同意を取るべきでは？これ他社も同じ状況のところ多いだろうしすでに反社に情報抜かれてるでしょ。

[tilfin]

デフォルト設定が緩くなるってこれ他の会社でも同様のことが起きてたんでは？

[deamu]

デフォルト変えたらそりゃ事故る所も出てくるわ。これといい東証の件といいデフォルトを変えて来て、それをすべての現場が100％追随してくれて当然というのは、うーん…なんか納得いかなくてもやもやする

[sato_chan]

セールスフォースの製品はまったく洗練されてないので、常に解約したいレベル。

[hitoyasu]

"2016年に同システムのアップデートがあった際、セキュリティー設定のデフォルト値が変わったという。"

[ninosan]

タイトル、「誤る」っていうのはさすがにおかしいだろ。

[yogasa]

ただのユーザ企業ならちょっと酷かなとおもうが，エンジニアがいるならその人達何してたのって話では。変更が入るとき何が変わるか調査するなんて当たり前のことでしょ

[evolist]

でかい企業のセキュリティ責任者というのは、自己保身のためにセキュリティを利用してるから、すぐにトラブルを起こす

[hazeblog]

おお… "2016年に同システムのアップデートがあった際、セキュリティー設定のデフォルト値が変わった"

[north_god]

4年見過ごしてて攻撃されたら気配もあるのに、その件数で済むんか？

[b4takashi]

設定値のデフォルトが変わった…これ楽天が悪いのかなあ…？salesforceのアップデートの仕方がどうなんだと思うんだけれど…

[sumomo-kun]

一義的には楽天の情シスが確認を怠ったからだが、セールスフォースの仕様変更は地雷そのもの。中小企業で同じことおこりまくってそう。

[paradisemaker]

他にもたくさん類似事案ありそう。公開範囲設定を広げるほうにデフォルト値変えるとか聞いたことないな。

[karkwind]

あらら？

[brusky]

“楽天では最大138万1735件が不正アクセスを受けた可能性があり、うち208件に実際に不正アクセスがあった”

[shikiarai]

こういう見落としがあるからマイグレーションを気軽にやりましょう！っていう奴らが怖いのよな。気軽に言って品質を犠牲に納期にねじ込んで自分たちは逃げて運用側に責任を押し付ける

[kikuchi1201]

やばっーーー

[imatac]

これSalesforceのせいにするのって楽天の情シスの存在意義なさすぎでしょ。SaaSなんだからアップデートが顧客にとって良いかどうかを判断する責任は顧客にある。それが嫌ならスクラッチで頑張りなさい、という話で。

[naokik]

Salesforceって別に安くないし、デファクトなのと既存の資産があるから使ってるだけで、今から始める意味はないよな。

[peketamin]

セールスフォースの印象が悪くなった

[vanish_l2]

糞すぎな仕様で物を売るってこういうことなのかなと思いを馳せる年末であった

[linus_peanuts]

情報セキュリティ試験に出てきそうな話だな(同情しづらい)

[quality1]

他にも担当者の正月消える会社ありそう

[inmysoul]

リリースノート、メール連絡、ダッシュボードでも通知されてたみたいだから、単に運用責任者が給料泥棒なだけでは？ 仕様変更もトラッキングしてないとかいる意味ないじゃんw

[miya-jan]

"2016年に同システムのアップデートがあった際、セキュリティー設定のデフォルト値が変わったという。再設定が必要だったが、できていなかった。"

[moons]

怖え……

[reiki4040]

ええ、セキュリティセキュリティ設定のデフォルトが脆弱な方に振れたの…