楽天グループのクラウド型営業管理システムに設定不備、社外からアクセス可能に | ScanNetSecurity
2024.03.29(金)

楽天グループのクラウド型営業管理システムに設定不備、社外からアクセス可能に

楽天株式会社、楽天カード株式会社、楽天Edy株式会社は12月25日、社外のクラウド型営業管理システムに保管された一部の情報に対する社外の第三者からのアクセスを確認したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 6 枚 拡大写真
楽天株式会社、楽天カード株式会社、楽天Edy株式会社は12月25日、社外のクラウド型営業管理システムに保管された一部の情報に対する社外の第三者からのアクセスを確認したと発表した。

これは11月24日に、社外のセキュリティ専門家から、社外のクラウド型営業管理システムに保管された一部の情報が社外の第三者からアクセスできる状態である旨の指摘があり判明したというもの。社外のクラウド型営業管理システムの利用におけるセキュリティ設定の不備が原因。

当該システムに対するアクセス状況について調査を行ったところ、現時点で楽天および楽天カード社、楽天Edy社が管理する一部の情報に、社外の第三者による海外からのアクセスがあったことを確認している。

社外の第三者からアクセスの可能性があったのは 2016年1月15日から2020年11月26日までの期間で、それぞれ下記の情報。

・楽天株式会社
「楽天市場」への法人向け資料請求者および店舗情報
項目: 一部の出店見込/契約済事業者の企業名、店舗名、住所、代表者名、担当者名、電話番号、Fax番号、メールアドレス、営業対応情報等
可能性があった最大件数: 138万1,735件(うち現時点でアクセスが確認された件数:208件)

・楽天カード株式会社
事業者向けビジネスローン申込者情報 
対象となる顧客: 2013年4月1日から2020年7月18日にWebサイトよりビジネスローンを申込した顧客
項目:
法人または個人事業主: 名称、住所、メールアドレス、売上高、売上原価、借入状況、法人口座(銀行名・支店名・口座番号・名義)等
代表者: 氏名、住所、電話番号、生年月日、居住状況、世帯人数、借入状況、勤続年数、運転免許証番号、個人口座(銀行名・支店名・口座番号・名義)、年収等
保証人: 氏名、住所、電話番号、生年月日、居住状況、世帯人数、勤務先(名称、住所、電話番号)、運転免許証番号等
融資希望: 金額、開始日、期間、返済方法、資金使途、利率、審査結果等
可能性があった最大の法人・個人事業主数: 15,415件(うち現時点でアクセスが確認された件数:304件)

・楽天Edy株式会社
故障した端末の残高移行サービスの申込者情報 
項目: 氏名、故障端末の電話番号、Edy番号等
対象となる端末とサービス申請期間:
「おサイフケータイ」機能付き携帯電話 2010年10月1日から2019年3月4日
docomo select「おサイフケータイ ジャケット01」 2014年10月30日から2020年11月18日
ソニー製ハイブリッド型スマートウォッチ「wena wrist」シリーズの一部 2016年3月24日から2020年11月18日
可能性があった最大の申込者数: 89,141件(うち現時点でアクセスが確認された件数:102件)

11月24日に楽天社内のセキュリティ専門部署が中心となり、楽天カード社、楽天Edy社における対応を開始し、当該システムの設定変更を11月26日までに完了している。

同社らは情報が閲覧された可能性がある法人・個人の顧客に対し、本件の概要および被害に遭った際の問い合わせ先の案内等を行っている。

また、社内調査結果をもとに楽天からは個人情報保護委員会、楽天カード社、楽天Edy社からは各監督官庁へ報告を行っている。

楽天グループでは今後、社外のクラウド型営業管理システムの利用に対するセキュリティ管理の強化と定期的な見直し等を行い、再発防止に努めるとのこと。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  7. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る