はじめに

2021/10/4に、CERT/CCよりSalesforce DX CLIについてアクセス制限不備の問題が指摘されました。

jvn.jp

www.security-next.com

これに対し、Salesforceでは Salesforce ヘルプ: Salesforce Developer Experience Command Line Interface の設定 を公開しましたが、具体性がなく何が起きているのか分からない内容となっています。

ここでは、実際にどのような操作が問題なのか、また対応策について書いていきます。

注意事項

筆者は普段Salesforce DX CLIを使っておらず、一部憶測を含む部分があります。
本投稿の内容を試した際など、掲載内容からいかなる損失や損害などの被害が発生したとしても、当ブログでは責任を負いません。（サイトポリシーの免責事項もお読みください。）

問題となる事象と再現方法

Salesforce DX CLI には、登録した組織・ユーザにコマンド1つでログインできる機能があるのですが、そのコマンドを実行した際にそのユーザとして組織にログインできるURLが出力されます。
これが今回問題となった機能と思われます。

再現方法

• Salesforce DX CLI をインストールする。
  • インストール方法はこちらを参照してください。
• sfdx force:auth:web:login を実行し、ブラウザ画面からSalesforceにログインする。これにより Salesforce DX CLI 側に組織、ユーザ情報が登録される。
• sfdx force:org:open を実行する。これにより sfdx force:auth:web:login コマンドでログインしたユーザと同じユーザでログインした状態でブラウザが起動すると同時に、そのユーザとして組織にログインできるURLが出力される。

実際のコマンド実行と出力内容の例です。

> sfdx force:auth:web:login -a test
# このコマンド実行後、Salesforceログイン画面が表示された状態でブラウザが起動する。
# この画面でログインすることで Salesforce DX CLI 側に組織、ユーザ情報が登録される。

> sfdx force:org:list
=== Orgs
  ALIAS  USERNAME             ORG ID              CONNECTED STATUS
  ─────  ───────────────────  ──────────────────  ─────────────────────
  test   test@sampleorg.com   00DxxYYYYYzzzzzAAA  Connected
# force:auth:web:login でログインした情報が表示される

> sfdx force:org:open -u test
WARNING: This command will expose sensitive information that allows 
for subsequent activity using your current authenticated session.
Sharing this information is equivalent to logging someone in under the 
current credential, resulting in unintended access and escalation of privilege.
For additional information, please review the authorization section of the 
https://developer.salesforce.com/docs/atlas.en-us.234.0.sfdx_dev.meta/sfdx_dev/sfdx_dev_auth_web_flow.htm

Access org 00DxxYYYYYzzzzzAAA as user test@sampleorg.com with the following 
URL: https://mysampledomain.my.salesforce.com/secur/frontdoor.jsp?sid=00DxxYYYYYzzzzz!heersgKJolaf0kq3rLMODASA...
Waiting to resolve the Lightning Experience-enabled custom domain...... done

上記コマンドの https://mysampledomain.my.salesforce.com/secur/frontdoor.jsp?sid=00DxxYYYYYzzzzz!heersgKJolaf0kq3rLMODASA... が「そのユーザとして組織にログインできるURL」です。
上記URLの sid はセッションIDを指すと思われます。つまりこのURLを悪用すればセッションハイジャックができてしまうということです。

cybersecurity-jp.com

なぜURLを出力しているのか

Salesforce DX CLI では、スクラッチ組織という開発者が開発のために作ることができる組織があります。（Developer Edition組織とは別です。）

trailhead.salesforce.com

この「スクラッチ組織を使って開発する」ことを考えたときに、複数人でチームとして開発しており、開発の内容をチーム内で確認してもらいたいときは「スクラッチ組織に開発者全員のユーザアカウントを作成してアクセスしてもらう」よりも「システム管理者としてログインできるURLを発行してそれをチーム内に連携する」方が便利です。
（「スクラッチ組織を作成→その組織にログイン」の流れが force:org:create → force:org:open とコマンドで完結し、ログイン画面を介さないため「ユーザ名とパスワードを連携する」という方法も不便になってしまう。）

よって、Salesforceとしてはこの機能は開発用に用意したものであり、本番環境はセッションハイジャックを防ぐためにセッション設定を用意しているのでそれを適用するように、というのが見解だと思われます。

対策方法

発行されたURLはログイン済のセッションを用いているため、ユーザ名、パスワードはもちろん多要素認証を必須にしていたとしても多要素認証の情報なしにログイン後の画面にアクセスできてしまいます。
さらに、ログイン履歴にもこのURLを用いたアクセスは記録されません。（アクセス後にレコードを参照すると、「最近参照したレコード」として記録はされます。）

発行されたURLからの外部アクセスを防ぐためには「セッションの設定」にて防止用の設定を導入する必要があります。 具体的には以下2点です。

ログイン時の IP アドレスとセッションをロックする

これはログイン時のIPアドレスとログイン後のIPアドレスが変わった場合にそのセッションを切断し、再度ログインを要求する機能です。
これにより、 Salesforce DX CLI で発行されたIDに外部からアクセスしようとしてもログイン画面に戻されます。
ただし、「ログイン時の IP アドレスとセッションをロックする」を有効にした後のログインが対象となります。有効にする前にログインした際のセッションはこの機能の制限を受けません。

これを有効にするとSalesforceアクセス後に自分の端末のIPアドレスが変わるとログイン画面に戻されることになります。（ノートPCやスマートフォンでは影響があるでしょう。）
また、Salesforceヘルプ: セッションセキュリティ設定の変更 にも「この設定は、さまざまなアプリケーションやモバイルデバイスの機能を妨げる可能性があります。」という注意書きがありますので、安易な設定はお勧めできません。

すべての要求でログイン IP アドレスの制限を適用

これはログイン IP アドレスの制限が設定されているユーザにてログイン後にIPアドレスがログイン IP アドレスの制限の範囲外になった場合、エラーとする機能です。

これも同様に、Salesforce DX CLI で発行されたIDにログイン IP アドレスの制限範囲外となる外部からアクセスしようとしてもエラーになりますが、Salesforceアクセス後に自分の端末のIPアドレスがログイン IP アドレスの制限範囲外になった場合もエラーになります。（ノートPCやスマートフォンで、VPN使用時にVPNが切断された場合などが該当するでしょう。）

備考

ここでは2つの設定を紹介しましたが、いずれにも言える点は「たとえ有効にしたとしてもセッションハイジャックを完全に防ぐことはできない」という点です。
具体的にはどちらの設定もログイン後にIPアドレスが変わったことをトリガとしてエラーとするため、「社内で Salesforce DX CLI により発行されたURLを盗み見てアクセスすればセッションハイジャックできる」といった内部犯行を防げません。（社内のPCに対しグローバルIPアドレスを個別に割り振っているのであればこのような内部犯行は防げますが、そのような会社はごく少数でしょう。）

よって、セッションハイジャックを完全に防ぐ方法として「本番環境では force:org:open を使わない」を提案します。
そもそも force:org:open はスクラッチ組織のためにあるものだと考えれば、ユーザ名、パスワードを入力すればログインできる本番組織には不要とも言えます。
コマンド1つでログイン画面が表示できるのは便利ではありますが、セキュリティを考慮すると本番環境では使わない方がよいと考えます。

おわりに

今回の問題はゲストユーザ問題と同様、責任共有モデルが大きく関わってきます。
つまり「Salesforceはセッションハイジャック防止用の設定を用意しているので、ユーザの責任で導入してください。」というものです。
しかし先述の通りアクセス元IPアドレスが変わらない状況にてセッションハイジャックを防ぐ機能がSalesforceにない現状では、片手落ちの印象も受けます。

本件について記載されたヘルプでは「今後、機能拡張があった場合は、この記事を更新します。」とのことですので、何らかの機能拡張があるか注目したいと思います。

※この内容は2021/9時点のものです。

Master the Release Readiness Process

https://trailhead.salesforce.com/ja/content/learn/modules/advanced-salesforce-release-readiness-strategies/master-the-release-readiness-process

• 説明：英語
• Challenge：英語選択問題

Select and Prioritize Features

https://trailhead.salesforce.com/ja/content/learn/modules/advanced-salesforce-release-readiness-strategies/select-and-prioritize-features

• 説明：英語
• Challenge：英語ハンズオン

【Challenge要約】

※筆者注：Challenge前に組織設定にて言語のデフォルト値を「英語」にする必要があります。

• 以下内容で新規カスタムオブジェクトを作成してください。
  • 表示ラベル：New Feature
  • 表示ラベル（複数形）*1：New Feature
  • オブジェクト名：New_Feature
  • 説明：Object to track and prioritize new features to be deployed
  • タブスタイル：トロフィー
• 以下内容でNew Featureカスタムオブジェクトに新規カスタム項目を追加してください。
  • 項目の表示ラベル：Feature Area
    • データ型：選択リスト
    • 項目名：Feature_Area
    • 値：Accounts & Contacts, Opportunity, Productivity, Case Management, Knowledge, Tasks & Activities, Email, Calendar, Automation, Reports, Dashboards
  • 項目の表示ラベル：Business Impact
    • データ型：選択リスト
    • 項目名：Business_Impact
    • 値：High, Medium, Low
  • 項目の表示ラベル：Implementation Effort
    • データ型：選択リスト
    • 項目名：Implementation_Effort
    • 値：High, Medium, Low
  • 項目の表示ラベル：Decision Status
    • データ型：選択リスト
    • 項目名：Decision_Status
    • 値：Proposed, Auto-activated, In development, Deployed, Cancelled
  • 項目の表示ラベル：Target Deployment Date
    • データ型：日付
    • 項目名：Target_Deployment_Date
    • ヘルプテキスト：When will this feature be deployed?
• 以下内容でNew Featureオブジェクトのレコードを作成してください。
  • New Feature名：Flow
  • Feature Area：Productivity
  • Business Impact：High
  • Implementation Effort：High
  • Decision status：Proposed

Test New Features Before a Release

https://trailhead.salesforce.com/ja/content/learn/modules/advanced-salesforce-release-readiness-strategies/test-new-features-before-a-release

• 説明：英語
• Challenge：英語選択問題

Communicate New Features to Users

https://trailhead.salesforce.com/ja/content/learn/modules/advanced-salesforce-release-readiness-strategies/communicate-new-features-to-users

• 説明：英語
• Challenge：英語選択問題

はじめに

Salesforceユーザライセンスのうち、比較的安価な Lightning Platform Starter ライセンスと Lightning Platform Plus ライセンス。

www.salesforce.com

この2つのライセンスは、ヘルプにてケースオブジェクトにアクセス可能なことが明言されています。

しかし、Lightning Platform Starter, Plus ユーザライセンスを購入するとSalesforce組織上では Salesforce Platform ユーザライセンスとして有効化されますが、 Salesforce Platform ユーザライセンスではケースオブジェクトにアクセスできません。 権限セットを割り当てようとしても以下のようにエラーになります。

実際にケースにアクセスさせるには

実はヘルプの冒頭に

「Lightning Platform Starter と Lightning Platform Plus のどちらにも Salesforce Platform ライセンスと Company Communities 権限セットライセンスが含まれます。次の表は、Salesforce Platform ライセンスが付与され、Company Communities 権限セットライセンスが割り当てられているユーザが使用できる機能を示します。」

という文言がある通り、 ケースオブジェクトにアクセスさせるには Company Communities 権限セットライセンスをユーザに付与する必要があります。
Company Communities 権限セットライセンスは、Salesforce組織上では「Company Community for Force.com」権限セットライセンスとして有効化されます。

手順

Company Communities 権限セットライセンスをユーザに付与する具体的な手順は以下になります。

1. 設定画面でメニューから「権限セット」を選択
2. [新規]をクリック
3. 表示ラベルやAPI参照名を入力し、ライセンスから「Company Community for Force.com」を選択して[保存]をクリック

   

4. [オブジェクト設定]をクリック
5. オブジェクト名から[ケース]をクリック
6. [編集]をクリックし、オブジェクト権限の「参照」「作成」「編集」「削除」から必要な権限をチェックして[保存]をクリック（必要に応じて項目権限等もチェックを入れる）
7. [割り当ての管理]をクリック
8. [割り当てを追加]をクリック
9. 割り当てたいユーザにチェックを入れ、[割り当て]をクリック
10. 割り当てが成功したことを示すメッセージが表示されればOK

注意事項

上記手順で作成した権限セットは、Salesforce Platformユーザライセンス以外のユーザにも割り当てられます。
つまり、SalesforceユーザライセンスのユーザにCompany Communities 権限セットライセンスを割り当てることもできますが、これはCompany Communities 権限セットライセンスを無駄にする行為です。（Salesforceユーザライセンスは単体でケースアクセス可能なため）
Company Communities 権限セットライセンスを使った権限セットの割り当てはSalesforce Platformユーザに限定するようにしましょう。

Appendix

Salesforce ヘルプ: Grant users with Salesforce Platform License access to Case object

はじめに

データローダでデータを取得しようとするとき、例えば取引先責任者で「ID、姓、名、取引先名、作成者、最終更新者」のデータを取得しようとすると、以下SOQLと結果になります。

• SOQL

Select Id, AccountId, LastName, FirstName, CreatedById, LastModifiedById FROM Contact

• 結果(CSV)

ここで、取引先名、作成者、最終更新者はIDではなくて実際の名前を取りたいと思いました。
レポートであれば実際の名前を取得できるのですが、ここではデータローダで取得してみましょう。

データローダでリレーションクエリを使う

リレーションクエリとは、参照関係や主従関係がある場合に対象のオブジェクトと関連するオブジェクトのデータを取得するクエリです。
詳細は以下を参照してください。 developer.salesforce.com

リレーションクエリでは、 <呼び出し元の項目名>.<呼び出し先のAPI参照名> という形で項目を指定します。
「項目名」はAPI参照名ではなく、項目設定画面で確認できます。
例えば取引先責任者オブジェクトの「取引先名」項目は、API参照名は AccountId ですが、項目名は Account になります。

「はじめに」に書いた要件を満たすようリレーションクエリを用いたSOQLが以下になります。

Select Id, Account.Name, LastName, FirstName, CreatedBy.Name, LastModifiedBy.Name FROM Contact

結果(CSV)はこうなります。

おわりに

標準オブジェクトやカスタムオブジェクトの場合、レポートでも同様の出力は得られますが、「サイト」や「権限セット」など、設定側のオブジェクトデータをエクスポートする際には役立つかと思います。
リレーションクエリはApex等開発でしか使わないものかと思っていましたが、データローダのエクスポートクエリはSOQLなので、リレーションクエリも使えるのだと勉強になりました。

2024/2/14追記

Authyデスクトップアプリは2024/3/19に提供終了（EOL）となるとのリリースが出ています。
引き続きPCにてMFA対応が必要な場合は、WinAuthかChrome 拡張機能: Authenticatorの利用をご検討ください。代替アプリの詳細が知りたい場合は、合わせて「おわりに」節も参照ください。

• 2024/2/14追記
• はじめに
• 手順
  • Authy セットアップからログイン
  • Salesforce アカウントの多要素認証登録
  • 多要素認証登録後のSalesforceログイン
• おわりに

はじめに

Salesforce多要素認証では、Salesforce AuthenticatorアプリかGoogle Authenticator等サードパーティ TOTP 認証アプリ、またはYubiKeyなどのセキュリティキーが必要となるため、「スマートフォンがない人はセキュリティキーを用意する必要がある」という認識でした。
しかし、以下のイベントでは「SMSの受信、または受電ができるデバイス（フィーチャーフォン含む）」と「Google ChromeがインストールされたPC」で多要素認証に対応する方法を説明する、とのことでした。

trailblazercommunitygroups.com

調べた結果、AuthyであればPCと電話でSalesforce多要素認証の対応が可能と分かりましたので、手順を書いてみます。

手順

Authy セットアップからログイン

まず、 https://authy.com/download/ にアクセスし、Desktopの枠から自分の利用しているOSを選択して 「Download」をクリックします。
この時、Windowsは32bitと64bitを選択する欄がありますが、自分がどちらを利用しているかは Microsoft社のヘルプ などを参考にしてください。

ダウンロードした exeファイルを起動すると、Account Setup 画面が表示されます。
この画面に電話番号を入力します。左の枠には「Japan」と入力して日本の国番号である「+81」を選択し、右の枠には自分の電話番号を入力します。

次に、認証方法を選択します。 スマートフォンなど、SMS受信可能な場合はSMSを、電話のみ可能な場合は Phone Call を選択します。
※この画面は既に初回認証が完了している電話番号を使用しているため、認証済みの端末を表す Existing Device が表示されていますが、一番最初の認証時は表示されないはずです。

・SMS を選択した場合
SMSを選択した場合は6桁の認証番号を入力する画面が表示され、認証番号がSMSにて英語の文面で届きます。
SMSで届いた認証番号を画面に入力すればOKです。

・Phone Call を選択した場合
Phone Call を選択した場合は、画面に2桁の数字が表示され、入力した電話番号宛に電話がかかってきます。 その電話を取り、表示された2桁の数字を入力すればOKです。（電話音声は英語です。）

認証が終わると、このような画面が表示されます。
これで準備は完了です。

Salesforce アカウントの多要素認証登録

※ここでは、「ユーザインターフェースログインの多要素認証」にチェックがあるユーザを利用します。

Salesforce ログイン画面からログインします。

「Salesforce Authenticator を接続」画面が表示されるので、「別の検証方法を選択」をクリック

「検証方法を選択してください」画面が表示されるので、「認証アプリケーションからの確認コードを使用」を選択し、「次へ」をクリック

「認証アプリケーションを接続」画面にてQRコードが表示されるので、「QRコードをスキャンできません」をクリック

「認証アプリケーションを接続」画面にてキーと確認コード入力画面が表示されるので、キーの文字列を全てコピー

Authy に戻り、「+」マークをクリック

コピーしたキーの文字列を「Enter Code ...」の枠に貼り付け、「Add Account」をクリック

確認コードを識別するための名前（任意。ここではSalesforceユーザ名として「admin@testaccount.com」を設定）、Authy上でのアイコン（Salesforceを選択）、トークン長（「6-digit」を選択）を設定し、「Save」をクリック

これで、Salesforce多要素認証用の認証コードが表示されました。

最後に、Salesforce画面に戻り「認証アプリケーションを接続」画面にてAuthyに表示されている確認コードを入力し、「接続」をクリック

以上でSalesforce アカウントの多要素認証登録は完了です。

多要素認証登録後のSalesforceログイン

通常通り、Salesforceログイン画面からログインします。

「IDを検証」画面にてAuthyに表示されている確認コードを入力し、「検証」をクリックします。

以上でログインは完了です。

おわりに

今回はAuthyを使って、スマートフォンアプリなしで多要素認証を行う手順を記載しました。
ちなみに検証していませんが、電話なしでPCのみでの多要素認証が可能なアプリもあるそうです。

• WinAuth
  • 検証記事(qiita)
  • 検証記事(classmethod)
• Chrome 拡張機能: Authenticator
  • 検証記事
  • Salesforceでの検証記事

なお、注意事項として多要素認証の認証コードを発行できる端末がPCのみの場合、そのPCがなければSalesforceにログインできないことになります。
また、電話番号が会社の固定電話の場合、会社以外からAuthyにログインできないため、会社以外でのSalesforce接続は不可、ということにもなります。
このようにSalesforceへの接続場所が固定されるデメリットもあるため、利用時は利用環境も含め検討されることをお勧めします。