「Salesforce」狙いの新たなボイスフィッシング詐欺--従業員をだまし機密データを窃取

Lance Whitney (Special to ZDNET.com) 翻訳校正: 編集部

2025-06-06 07:46

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 「Salesforce」の導入企業では、同サービスを標的としたフィッシング詐欺の新たな手口に注意を払う必要がある。

 Googleの脅威インテリジェンスグループは、米国時間6月5日付のブログ記事で、攻撃者がボイスフィッシング(ビッシング)を用いて従業員をだまし、Salesforce内のデータへのアクセスを許可させる手口について詳しく説明した。これらの攻撃は、大量の機密データを盗み出し、被害者を脅迫することを目的としている。

 このキャンペーンの背後にいるサイバー犯罪者は、ITサポート担当者になりすまし、標的企業の従業員に電話をかける。従業員は「Salesforceのセットアップページ」と称する偽のウェブサイトにアクセスするよう指示され、そこで「Salesforce Data Loader」というアプリケーションをダウンロードし、インストールするよう求められる。

 Data Loader自体は実在し、Salesforce内のデータを取り込み、書き出し、更新・削除するために使用される。しかし、問題のウェブページに掲載されているバージョンは、攻撃者によって改ざんされ、彼らの制御下にある悪意のあるものである。

 アプリケーションがインストールされて接続されると、攻撃者はSalesforce内の重要なデータに自由にアクセスし、情報の検索や書き出しが可能になる。こうしたデータの持ち出しは通常、攻撃者がアクセス権を取得した直後に実行される。

 場合によっては、攻撃者は従業員に対し、Salesforceのデータを書き出すために必要なユーザー名やパスワード、多要素認証(MFA)コードの提供を求めることがある。また、攻撃者は「Mullvad VPN」のIPアドレスを使用して、Salesforce環境に不正アクセスしていることも分かっている。

 攻撃者は、認証情報の窃取やビッシングによって入手したユーザー名とパスワードを使ってログインを試みる。これらの認証情報を取得すると、ネットワーク内を横断的に移動し、「Microsoft 365」や「Okta」など、他のクラウドサービスからもデータを取得する可能性がある。

 Googleは、この攻撃の背後にいるグループを「UNC6040」と特定している。同グループは、ソーシャルエンジニアリングの一種であるボイスフィッシングを得意としている。ただし、UNC6040が単独で活動しているとは限らず、他の関係者や組織と連携している可能性もある。

 実際の恐喝行為は、初期の攻撃から数カ月後に行われるケースが多い。Googleによれば、これは取得したデータを金銭化する役割を担う、別のサイバー犯罪グループが関与している可能性を示唆している。また、UNC6040自身も、ハッキンググループである「ShinyHunters」と連携し、被害者に対して金銭の支払いを強要しているとされている。

 さらに、Googleの脅威インテリジェンスの研究者は、UNC6040によるものと類似した他の攻撃も確認している。これらの攻撃はいずれも、ITサポートを装ったビッシング詐欺、Oktaの認証情報を標的とする点、多国籍企業に勤務する英語話者を狙う点など、共通する戦術・技術・手順を有している。Googleは、こうした緩やかに関連する攻撃者グループを「The Com」と呼び、これらの類似性は、攻撃者同士が直接連携しているというよりも、同じオンラインコミュニティー内で活動していることを示している可能性があると見ている。

 また、これらの攻撃は、Salesforceや他のクラウドサービス自体の脆弱(ぜいじゃく)性によって引き起こされたものではない点も重要である。むしろ、攻撃者は昔からある信頼性の高いソーシャルエンジニアリングの手法を悪用している。これらのケースでは、従業員が、信頼できる人物や公式なサポートを装った見知らぬ相手の要求に、疑うことなく応じてしまっている。たとえフィッシングやビッシングに関する警告やトレーニングが繰り返し行われていても、詐欺師は誰かが必ず引っかかることを理解しているのだ。

 Salesforceの広報担当者は米ZDNETへの声明で、「Salesforceは、プラットフォームのあらゆる部分にエンタープライズグレードのセキュリティを組み込んでおり、今回報告された問題が当社のサービス固有の脆弱性に起因するという兆候はない」と述べた。また、「ボイスフィッシングのような攻撃は、個々のユーザーのサイバーセキュリティ意識とベストプラクティスのギャップを悪用するように設計された、標的型のソーシャルエンジニアリング詐欺である」とも付け加えている。

 GoogleとSalesforceの両社は、この種の詐欺からデータを保護するための対策を提示している。具体的には、ユーザーに対して業務に必要な最小限の権限のみを付与すること、接続されたアプリケーションへのアクセスを適切に管理すること、MFAを必須とすること、ログインを許可するIPアドレスの範囲を信頼できるものに限定すること、「Salesforce Shield」を活用したセキュリティ機能の導入を検討すること、組織内に専任のセキュリティ担当者を配置することなどが推奨されている。

提供:Mensent Photography/Getty
提供:Mensent Photography/Getty

この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン登録のお申し込み

関連記事

関連キーワード
Google
Salesforce.com

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    AIの価値を迅速に引き出す戦略の進め方--調査結果が示す「AI導入の障壁」とは?
  2. セキュリティ

    新入社員に教えるべき情報セキュリティの基礎知識--企業全体を守るための基本ルールを徹底解説
  3. セキュリティ

    標的型攻撃メール訓練の効果指標、「開封率だけでは不十分」な理由を解説
  4. 運用管理

    AWSに移行することのメリットと複雑さ--監視ソリューションの導入から活用までを徹底解説
  5. セキュリティ

    AWS セキュリティの強化、実際どうしてる?人材不足でもできたクラウド運用の成功事例集
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]