ハッカーグループが再びSalesforce(セールフォース)へのサイバー攻撃 キャンペーン-Salesforceは設定不備の悪用を主張

セキュリティニュース

投稿日時: 更新日時:

ハッカーグループが再びSalesforce(セールフォース)へのサイバー攻撃を主張-Salesforceは設定不備の悪用を主張

Salesforceは2026年3月7日、公開されたExperience Cloudサイトの設定不備を狙う脅威アクターの活動が増えているとして、顧客向けの緊急ガイダンスを公表しました。Salesforceによると、攻撃者は公開サイトで使われる guest user profile の設定が過度に緩い環境を狙い、本来公開される想定ではないCRMデータへアクセスする可能性があります。Salesforceは、この問題は同社プラットフォーム固有の脆弱性ではなく、顧客側で構成されたゲストユーザー設定に起因するものだと説明しています。

この動きに合わせるように、ShinyHuntersを名乗る攻撃者は、Salesforce Aura Campaign と称して数百社を対象にした最終警告を出したと主張しました。提示された犯行声明では、連絡を受けた企業に対し、応答して支払いに応じなければ、最終警告または完全なデータ公開に進むと脅しています。もっとも、この声明は攻撃者側の主張であり、被害企業数や実際の流出規模は現時点で独立に確認されたものではありません。

関連:ハッカー グループ、複数のSalesforce(セールフォース)利用企業への不正アクセスして窃取した情報を公開

Salesforceが公表した技術的な内容

Salesforceの説明では、攻撃者はMandiantが開発したオープンソースツール Aura Inspector を改変して、公開中のExperience Cloudサイトを大規模にスキャンしているとされています。元のAura Inspectorは、公開APIエンドポイントのうち /s/sfsites/aura を調べて危険なオブジェクトを特定するためのツールですが、今回の攻撃者はそれを拡張し、単なる識別だけでなく、過剰な権限が付与された guest user profile を悪用して実際にデータを取得できる状態にしたといいます。

Salesforceは、リスクが生じる条件として二つを挙げています。

ひとつは公開サイトで guest user profile を使っていること、

もうひとつはその権限設定が緩すぎて、本来公開すべきでないオブジェクトや項目へのアクセスを許していることです。こうした状態では、認証なしでSalesforce CRMのオブジェクトに直接問い合わせができる可能性があり、氏名や電話番号などの情報が次のソーシャルエンジニアリングやボイスフィッシングに悪用されるおそれがあるとしています。

ShinyHuntersの主張とSalesforceの説明は食い違っている

今回重要なのは、Salesforceと攻撃者側の説明が一致していないことです。Salesforceは一貫して、これは platform security flaw ではなく、顧客設定の誤りを突いた活動だとしています。一方でハッカーのShinyHunters側が、設定不備の悪用だけではなく、新たなバイパス手法や独自ツールを使っていると主張しています。

ただし、この点は現時点で第三者による十分な裏付けがありません。

ShinyHuntersは過去から複数回Salesforce利用企業へサイバー攻撃を実施

ShinyHuntersは2025年Salesforce利用企業へ複数回サイバー攻撃を行っており、過去でも9億845万件のレコードを取得したと主張しています。

なお、このサイバー攻撃ではSalesforce自体のサイバー攻撃ではなく利用企業へのビッシングやサプライヤー起点でサイバー攻撃で情報を窃取していました。

関連:Salesforce(セールスフォース)へサイバー攻撃-ハッカーによる不正アクセスで情報漏洩か-シスコ/トヨタ/富士フイルム/Googleに影響か

また、2026年にはOktaへのビッシングによりコインベースやマッチグループなどにも攻撃キャンペーンを行っています。

関連:ハッカーがTinderやBumble、Match.comなどのマッチングアプリへのサイバー攻撃を主張

企業が今すぐやるべきこと

Salesforceは、顧客に対して直ちに取るべき対策を具体的に示しています。まず、guest user profile の権限監査を行い、サイトに必要な最小限のオブジェクトと項目だけへアクセスを絞ることです。次に、Sharing Settings で Default External Access を Private に設定し、Secure guest user record access を有効にして、明示的な共有ルールがない限りレコードへアクセスできない状態にすることを勧めています。

加えて、最も効果の高い単一の変更として、公開APIを無効化することが挙げられています。サイト設定の Allow guest users to access public APIs を外し、guest user profile 側の API Enabled も無効にすることで、今回のキャンペーンで使われているAuraエンドポイントへの未認証クエリを遮断できるとしています。Portal User Visibility と Site User Visibility の無効化、自動セルフ登録の停止、Aura Event Monitoringログの確認、そして Security Contact の登録も推奨事項です。