2025年10月、Salesforce(セールスフォース)の顧客企業を脅迫するダークウェブのリークサイトが開設され、攻撃者は「760社から15億件の記録を窃取した」「39社だけで10億件に達する」と主張しています。
一方でSalesforceは「身代金の支払いには一切応じない」と明言し、法執行機関とともに調査・支援に当たっています。攻撃は Scattered Lapsus$ Hunters(別名:ShinyHunters、Scattered Spider、Lapsus$)を名乗る集団が前面に出ていますが、グループ側の数字は誇大である可能性も否定できません。少なくとも2025年8月以降、Salesloft DriftのOAuthトークンや、ユーザーの承認を装うソーシャルエンジニアリングなど複数の経路でSalesforce環境に紐づくデータが抜き取られた事象が観測されています。
何が起きているのか
攻撃者はTor上のリークサイトで、Cisco、Disney、IKEA、Marriott、McDonald’s、Walgreens、Albertsons、Saks Fifth Avenue など名の知れた企業名を掲示しました。
日本で名指しされた名称としては、、トヨタ、富士フイルムなどが並びます。
攻撃者は「二要素認証(2FA)やOAuthアプリの制御が緩いインスタンスからもダンプした」と挑発し、「支払わなければデータを全面公開し、集団訴訟の原告側に協力する」といった“圧力のかけ方”で交渉に引きずり込もうとしています。
これに対しSalesforceは、「プラットフォーム自体が侵害された兆候はない。既知の脆弱性とも無関係で、事件は外部連携や第三者サービスに起因する」と説明。顧客に対しては、恐喝メールやソーシャルエンジニアリングに注意するよう再三呼びかけています。
また、Salesloftと協働して DriftのOAuthトークンを全無効化、AppExchangeから一時撤去、再認証を経たうえでDrift以外の連携を段階的に再開するなどの抑止策を進めています。報道各社への回答でも「交渉・支払いには一切応じない」姿勢を明確にしました。








