Googleが明かしたSalesforce狙いの詐欺手口。ITサポートを偽り、Data Loaderに見せかけた悪意あるアプリを使って社内データに侵入する攻撃が多発。背景にはShinyHuntersとの連携も。ユーザーの意識と権限管理の徹底が求められています。
Salesforce標的の
新型詐欺「偽ITサポート」
広告の下に記事の続きがあります。ペコリ
Salesforceを狙ったボイスフィッシング詐欺の新手口が、企業のセキュリティを揺るがしている。Googleの調査によると、ITサポートを装った詐欺電話によって従業員を騙し、機密データを盗み出すという組織的な攻撃が発生しており、クラウドサービスの利用者は今、より一層の警戒を求められている。
| 見出し | 要点 |
|---|---|
| 詐欺の概要 | Salesforceを標的にしたボイスフィッシング詐欺が拡大中 |
| 手口の詳細 | 偽サイトで改ざんアプリをダウンロードさせ、情報を窃取 |
| 影響範囲 | 多要素認証や他クラウドサービスにも不正侵入 |
| 防止策 | 権限の最小化、MFA必須、IP制限、セキュリティ専任者配置 |
なぜSalesforceが狙われたのか?
クラウド利用の拡大と信頼性の裏を突く
Salesforceは世界中の大手企業が顧客管理や営業支援に導入するクラウドサービスであり、そこに蓄積される情報は機密性が極めて高い。攻撃者にとっては「一度侵入すれば大量のデータを取得できる宝庫」であるため、ターゲットとして選ばれやすい。また、同社が提供する「Data Loader」は正規ツールであるため、それを装った改ざんアプリに対する警戒が薄れる傾向もある。
ボイスフィッシングという古典的手法の進化
今回の詐欺は、電話を使って従業員の信頼を得る「ビッシング(voice phishing)」を基軸とするもので、標的企業の従業員に直接電話をかけて誘導する手法が使われている。このように“人”を狙う社会的工学的手法は、技術的な防御をかいくぐる点で今も有効であり続けている。
企業文化とトレーニングの盲点
どれだけ強固なシステムでも、それを使う人間の意識が低ければ脆弱性となりうる。Googleの指摘通り、警告や訓練を受けた従業員であっても、ITサポートと名乗られれば、ついアクセス許可を出してしまうケースが後を絶たない。
詐欺の手口とは?どこに危険が潜んでいたのか?
偽のSalesforceページと改ざんアプリ
攻撃者はまず、正規のITサポートを装って電話をかけ、従業員を“Salesforceセットアップ用の偽サイト”へ誘導する。そこに掲載されている「Salesforce Data Loader」は、実際には攻撃者が改ざんしたものであり、インストールした瞬間から攻撃者はSalesforce環境への不正アクセスを開始できる。
多要素認証すら突破される脅威
さらに、攻撃者はMFA(多要素認証)コードの提示まで要求し、ユーザー名とパスワードのセットと合わせて、正規アクセスを装う。これは内部ネットワークを装ったログインログの回避にも使われる手法で、Mullvad VPNなどを経由することで正体を隠し、追跡を困難にしている。
他クラウドサービスへの波及も
一度認証情報が漏れると、攻撃者はOktaやMicrosoft 365など他のクラウドサービスにも侵入を試みる。今回の攻撃では「UNC6040」というグループが主導しているとされるが、その背後にはデータ販売や恐喝を担う別組織が関与している可能性もある。
この攻撃は「Salesforceの脆弱性」ではなく、あくまで「人の油断」を狙ったものだ。従業員の心理的安全性を逆手に取り、正体不明のサポート担当者に信頼を寄せてしまうことで、企業全体が危機に陥る可能性がある。
悪意のあるアプリやリンクに一度でもアクセスしてしまえば、組織的な連携とシステム的な自動化により、短時間で甚大な被害が生じる。そのため、単なるセキュリティソフトの導入ではなく、心理的耐性と判断力を育てる教育が求められる。
-
攻撃の主軸は人間の行動心理
-
通常のトレーニングだけでは防ぎきれない
-
「誰にでも起こり得る」という意識の共有が必要
| 項目 | 従来型フィッシング | Salesforce型ビッシング詐欺 |
|---|---|---|
| 手法 | メール・SMSによるリンク誘導 | 電話による音声誘導+偽サイト |
| 対象 | 不特定多数 | 特定企業の従業員(英語話者) |
| 使用ツール | 偽ログインフォーム | 改ざんされたData Loader |
| 目的 | 個人情報・認証情報の窃取 | Salesforce全体のアクセス制御突破 |
どのような対策が企業に求められるのか?
Googleが示した実践的セキュリティ強化策
Googleは今回の攻撃分析において、単なる注意喚起ではなく、極めて具体的な防御策を提示している。中心は「最小権限原則の徹底」「多要素認証の厳格な運用」「インストール制限」「IPアドレス制限」「社内教育の再構築」の5点。特にSalesforceのようなAPIベースの環境では、不要なAPIアクセスの無効化や監査ログのリアルタイム監視が不可欠だ。
“1人のクリック”が会社全体を危機に陥れる
攻撃は大規模でも、侵入口はたった1人の誤操作から始まることがほとんどだ。Googleのレポートでは、ある企業が一人の従業員が不審なリンクにアクセスしたことで、全社のSaaS環境が乗っ取られた例も紹介されている。多要素認証やパスワード保護をすり抜ける社会的工学的手口に対しては、テクノロジーだけでなく「疑う訓練」が求められる。
導入すべきは“セキュリティ文化”そのもの
防御策の導入だけでは十分ではない。企業が“セキュリティ文化”を持たなければ、いずれ別の形で侵入される。SlackやTeamsなど、社内コミュニケーションツールでの注意喚起や、“怪しい事例を共有する制度”の整備も今後の鍵となる。
なりすまし詐欺の流れと突破点
-
攻撃者がSalesforce管理者を標的に選定
-
電話でITサポートを装い、偽サイトへ誘導
-
偽Salesforce Data Loaderをインストールさせる
-
インストールと同時にAPI認証情報を窃取
-
多要素認証コードの取得まで電話で誘導
-
攻撃者が正規ユーザーとしてSalesforceに侵入
-
情報を国外の闇市場へ転売または企業脅迫
本件は技術的なサイバー攻撃ではなく、「人を狙った攻撃」である点が最大の特徴です。技術力ではなく“人間心理”を突く攻撃は、あらゆる企業・部署・役職を問わず無差別に脅威となります。
この点を踏まえると、セキュリティとは“担当者の仕事”ではなく“全社員の行動様式”であり、会社全体の文化として浸透させるべきものだと再認識させられます。
誰がこの攻撃を仕掛けたのか?その狙いと背景は?
中国系ハッカー集団「UNC6040」の関与か
GoogleのMandiant部門が名指ししているのが、中国に拠点を置くとされるAPTグループ「UNC6040」。このグループは過去にも政府機関や医療系データを標的にしたことで知られており、今回のSalesforce型攻撃でも“ビジネス情報”を狙っていたと見られている。
攻撃の裏にある“経済的モチベーション”
攻撃の目的は単なる悪戯や破壊ではない。Salesforceに蓄積された「顧客リスト」「購買データ」「売上予測」は、産業スパイやダークウェブ市場にとって極めて価値が高い情報だ。データを直接売却するだけでなく、盗んだ情報で恐喝する手口も存在する。
本件の被害企業が明かされない理由
現時点で「被害企業の名称」は公開されていない。これは、信頼性や株価への影響を懸念しての自主規制とされており、現実には“報道されていない被害”が多く潜んでいる可能性がある。
デジタル時代の本当の弱点は「人の心理」だ。
どれほど完璧なファイアウォールを築いたとしても、
それを信じる“心の油断”がひとつあれば崩れ去る。
社員教育という名の刷り込みでは足りない。
「誰がどこで信じてしまうか」を日々疑い、
疑うことすら文化として定着させるべきなのだ。
【FAQ】
Q1. なぜSalesforceが狙われたのか?
A. 顧客情報や売上データなど、極めて価値の高い機密情報が集中しているため。
Q2. 多要素認証があれば安心ではないの?
A. 今回のようにMFAコードすら電話で取得されるケースがあり、過信は禁物。
Q3. 被害企業の名前は明かされている?
A. 現時点では公開されていませんが、複数社が被害を受けている可能性があります。
Q4. 中小企業でも対策は必要?
A. はい。規模に関係なく「人間の油断」は発生しうるため、全社での意識向上が重要です。
| 結論 | 内容整理 |
|---|---|
| 狙われた理由 | Salesforceの高機密性データを狙った社会的工学的攻撃 |
| 攻撃の構図 | 電話誘導→偽アプリDL→API認証情報窃取→SaaS横断攻撃 |
| 防御の本質 | システム強化より“人の判断力”と“セキュリティ文化” |
| 今後の備え | 最小権限・IP制限・社内教育・ログ監視の再設計が急務 |
