ジュエリーブランドPandora(パンドラ)が情報漏洩を公表-Salesforceを狙った一連の攻撃で顧客情報が流出

セキュリティニュース

投稿日時: 更新日時:

ジュエリーブランドPandora(パンドラ)が情報漏洩を公表-Salesforceを狙った一連の攻撃で顧客情報が流出

2025年8月5日、世界的なジュエリーブランド「Pandora(パンドラ)」は、顧客情報が不正アクセスにより流出したことを公表しました。このインシデントは、Salesforceを標的とした継続中のサイバー攻撃の一環とみられており、同様の被害は他の大手企業にも広がっています。

顧客情報の一部が流出、金銭情報などは無事

Pandoraが顧客に送付した通知によれば、今回不正にアクセスされたのは、氏名、誕生日、メールアドレスといった基本的な連絡先情報に限られており、パスワードや金融情報、本人確認情報などの機微情報は含まれていないとのことです。

同社は、「第三者が当社で利用している外部プラットフォーム経由で、連絡先情報にアクセスした」と説明し、即座にアクセスを遮断し、セキュリティ体制を強化したと報告しています。

被害元はSalesforceのアカウント情報か

Pandoraは通知の中で、具体的な被害発生元の名称を明かしていませんが、報道によれば、Salesforceの顧客データベースが情報漏えいの発端となった可能性が高いとされています。

2025年初頭から、Salesforceを利用する複数の企業が標的となっており、攻撃者はソーシャルエンジニアリングやフィッシング攻撃を用いて、従業員やヘルプデスクを騙し、Salesforceの認証情報やOAuthアプリの権限を奪取する手口を採っています。

こうして奪取したアクセス権を用いて、攻撃者は企業のSalesforce内のデータをダウンロードし、その後身代金を要求するというのが、現在確認されている一連の攻撃のパターンです。

「ShinyHunters」が関与、身代金支払いを迫る

この攻撃には、かつて「Snowflakeデータ窃取事件」でも名を挙げた**サイバー犯罪グループ「ShinyHunters」**が関与しているとされており、BleepingComputerの取材に対し、現在も企業に対する私的な恐喝活動を継続していると明かしています。

ShinyHuntersは、身代金を支払わない企業に対しては、将来的に情報を一括で公開または販売する計画があるとし、企業にプレッシャーをかけています。

Salesforceの反応と警告

今回のような一連のインシデントについて、Salesforceは次のようにコメントしています。

「Salesforceプラットフォーム自体に脆弱性があるわけではなく、侵害は確認されていません。高度化するフィッシングやソーシャルエンジニアリング攻撃への対応として、MFA(多要素認証)の有効化、最小権限の原則の徹底、接続アプリケーションの厳密な管理など、セキュリティベストプラクティスの順守をお客様にも強く求めています。」

Salesforceは公式ブログでもセキュリティ強化策を公開しており、顧客企業に対して以下を推奨しています。

他社への影響も拡大中

この攻撃キャンペーンの影響はPandoraだけにとどまらず、Adidas、Qantas、Allianz Life、Louis Vuitton、Dior、Tiffany & Co.、Chanelといった世界的ブランドも被害を受けていることが報告されています。ただし、公にされていない被害企業も多数あるとされており、実態の把握が進むのはこれからと見られます。