ハッカーグループが7-ElevenのSalesforceへの不正アクセスを主張-フランチャイズ申請者の個人情報漏洩の恐れ

セキュリティニュース

投稿日時: 更新日時:

ハッカーグループが7-ElevenのSalesforceへの不正アクセスを主張-フランチャイズ申請者の個人情報漏洩の恐れ

悪名高い恐喝グループ「ShinyHunters」は2026年4月8日、コンビニエンスストア最大手「7-Eleven, Inc.」(本社:米国テキサス州、7-eleven.com)のSalesforceシステムに不正アクセスし、フランチャイズ申請者のデータを含む600,000件以上のSalesforceレコードを窃取したと主張しました。

7-Elevenが身代金の支払いを拒否したため、ShinyHuntersは4月22日に9.4GBの圧縮アーカイブをダークウェブのリークサイトで公開しました。データ侵害通知サービス「Have I Been Pwned(HIBP)」が同データを解析した結果、185,300件のユニークなメールアドレスを含む個人情報が確認され、2026年5月24日にHIBPのデータベースに登録されました。

7-Elevenは5月1日に被害者への通知書を送付し、「2026年4月8日、フランチャイズ関連書類を保管するシステムへの不正アクセスが発生した」と公式に認めています

この記事のサマリー

  • 被害発生日:2026年4月8日(7-Elevenが不正アクセスを検知)
  • 攻撃グループShinyHunters(恐喝型ハッキンググループ)
  • 攻撃手法Salesforce Experience Cloudの設定ミスを悪用。Mandiantが2026年1月に公開したオープンソースの監査ツール「AuraInspector」を使って大規模自動スキャンを実施
  • 攻撃対象:7-Eleven, Inc.が使用するフランチャイズ書類保管システム(Salesforce)
  • 窃取を主張したデータ:600,000件以上のSalesforceレコード
  • HIBP確認済みの影響件数185,300件(5月24日にHIBPへ登録)
  • 漏洩した情報:氏名・住所・生年月日・メールアドレス・電話番号・社会保障番号(SSN)運転免許証(フランチャイズ申請書類に基づくもの)
  • 7-Elevenの対応:身代金の支払いを拒否→ShinyHuntersが4月22日に9.4GBのアーカイブをダークウェブに公開。被害者に24か月間の無料なりすまし被害保護サービス(IDX)を提供
  • FBIの勧告:被害組織に対し「身代金を支払わないよう」警告
  • 日本ユーザーへの影響:後述の通り、日本国内の「セブン-イレブン・ジャパン」顧客への直接的な影響は現時点で確認されていない。

ShinyHuntersによる犯行声明——当サイト確認

当サイトが取得したShinyHuntersのダークウェブ・リークサイトのスクリーンショットには、以下の内容が掲載されていました。

ハッカーグループが7-ElevenのSalesforceへの不正アクセスを主張-フランチャイズ申請者の個人情報漏洩の恐れ

7-Eleven, Inc.(7-eleven.com)」のエントリーとして「Over 600k Salesforce records containing PII and other internal corporate data have been compromised.(600,000件超のSalesforceレコードを含む個人情報および社内の企業データが侵害された)」という文言と、「The company failed to reach an agreement(同社は合意に至ることができなかった)」という記述が確認されています。また「CHECKSUM SHA256: e9aa…e62」というデータの整合性検証用ハッシュ値、「600k+ Records | 9.4GB+(compressed)」というデータ規模、そして「Updated: 22 Apr 2026」という公開日時が表示されており、ダウンロードリンクが設置されていました。

攻撃の手口—AuraInspectorを使ったSalesforce Aura攻撃

Salesforce Experience Cloudの設定ミスを狙う

TechTimesおよびRolling Outの技術分析によれば、今回の攻撃の入口はSalesforce Experience Cloudサイトがデフォルトで公開している「/s/sfsites/aura APIエンドポイント」です。管理者がゲストユーザーのクエリ権限を適切に制限していない場合、攻撃者はログイン不要でSalesforceの基盤となるCRMデータにアクセスできます。

ShinyHuntersはこの手法を大規模に自動化するために、Mandiantが2026年1月にSalesforce管理者向けの設定診断ツールとして公開したオープンソースの「AuraInspector」を悪用しました。防御側のためのツールが攻撃に転用されたという皮肉な事例です。

ShinyHuntersのSalesforce標的キャンペーン

SecurityWeekおよびBleepingComputerによれば、ShinyHuntersは2025年中頃からSalesforceを使用する組織への攻撃を本格化しており、フィッシング・サードパーティ統合の悪用・設定ミスを通じた侵害を繰り返しています。7-Elevenはその最新の被害者の一つに過ぎず、同グループが最近犯行声明を出した組織には欧州委員会・Vimeo・Zara・McGraw-Hill・ADT・Medtronic・Rockstar Games・Match Group・Cisco・Google等が含まれています。

攻撃のタイムライン

2026年4月8日として、7-Eleve Inc.がフランチャイズ書類保管用Salesforceシステムへの不正アクセスを検知しました。

4月17日として、ShinyHuntersが自らのダークウェブ・リークサイトに7-Elevenのエントリーを掲載し、4月21日を期限とした身代金の支払いを要求しました。

4月21日(期限)として、7-Elevenが身代金の支払いを拒否しました。ShinyHuntersは$250,000の値で窃取データをロシア系ハッキングフォーラムでも販売しようとしていました。

4月22日として、ShinyHuntersがダークウェブ・リークサイトに9.4GBの圧縮アーカイブを公開しました(当サイト確認の犯行声明スクリーンショットに「Updated: 22 Apr 2026」と記載)。

5月1日として、7-Elevenが被害者へのデータ侵害通知書を発送し米国各州の司法長官へ届出を提出しました。

5月19日として、7-Elevenが公式にデータ侵害を確認したとRecorded Futureが報道しました。

5月24日として、HIBPがデータを解析し185,300件のユニークアカウントを確認後にデータベースへ登録しました。

5月26〜27日主要メディアが一斉に報道しました。


漏洩した情報の詳細

HIBPが解析・確認した漏洩情報は以下の通りです(HIBP公式・7-Elevenブリーチページ)。

氏名(Names)・物理的な住所(Physical addresses)・生年月日(Dates of birth)・メールアドレス(Email addresses)・電話番号(Phone numbers)が含まれています。TechTimesの報道によれば、上記に加えて社会保障番号(SSN)および運転免許証が含まれており、これらはフランチャイズ申請プロセスで提出された書類から取得されたものです。HIBPは「一部のレコードには追加の漏洩データフィールドも含まれていた(A small number of records also contained additional exposed data fields)」と説明しています。

ShinyHuntersが主張する「600,000件以上のレコード」とHIBPが確認した「185,300件のユニークアカウント」の差については、残余の約415,000件が重複データ・内部企業データ・文書ファイル等の非個人情報を含んでいる可能性があります。

日本のセブン-イレブン利用者への影響はない

日本ユーザーへの影響評価

今回の侵害は7-Eleven, Inc.の「フランチャイズ書類保管システム(Salesforce)」に限定されており、対象となるデータは主に米国・カナダのフランチャイズ申請者が提出した書類です。HIBPの解析結果もこの説明と一致しており、漏洩データには米国のSSN・運転免許証が含まれています。

日本国内のセブン-イレブン・ジャパン顧客(7Payアプリ・nanacoポイントカード・ロイヤルティプログラム等)のデータは、セブン-イレブン・ジャパンが独立して管理する別のシステムで運営されており、当サイトの評価では今回の侵害システムとは直接関連していないと考えています。


ShinyHuntersとは—「Salesforce大量窃盗キャンペーン」の主犯格

ShinyHuntersは「ペイ・オア・リーク(払うか公開か)」型の恐喝モデルを採用する悪名高い犯罪グループです。データを窃取し→身代金を要求し→支払いを拒否されたらダークウェブにデータを公開するという手口です。2025年中頃からSalesforceのインフラを標的とする「Salesforce Aura データ窃取攻撃」を大規模に展開しており、数十億件のレコードを窃取したと主張しています。7-Elevenとほぼ同時期の攻撃として欧州委員会のAWS環境侵害(当サイト過去記事:TeamPCP概要参照)とは別のグループですが、同様にSalesforce経由の大規模攻撃を行っているという点で共通するパターンが見られます。

7-Elevenの対応と被害者向けサポート

公式声明

7-Elevenは被害者に送付した通知書の中で「2026年4月8日、フランチャイズ書類を保管するために使用している特定の7-Elevenシステムに、権限のない第三者がアクセスしたことを発見した。お客様のフランチャイズ申請の際に提供された情報が含まれていた」と述べています(BleepingComputer)。

無料の被害者支援サービス

TechTimesの報道によれば、7-Elevenはフランチャイズ申請者に対して以下の被害者支援を提供しています。24か月間の無料なりすまし被害保護およびCyberScanモニタリングとして、IDXを通じて提供されます。通知書を受け取った方は1-833-788-9712に連絡し、通知書に記載された登録コードを使用して登録できます。登録期限は2026年8月1日です。

FBIの警告

FBIはShinyHuntersの被害組織に対して「身代金を支払わないよう」勧告するとともに、「支払いを行っても脅迫が繰り返される・窃取データが他の犯罪者に売却されることを保証するものではない」と警告しています。

Salesforceを使用する組織が取るべき対応

今回の攻撃はSalesforceの製品自体の脆弱性ではなく、管理者による設定ミス(ゲストユーザーへのクエリ権限の不適切な付与)が原因です。Salesforce Experience Cloudを使用する組織は以下を今すぐ確認してください。

ゲストユーザーへのアクセス権限の最小化として、/s/sfsites/auraエンドポイントでゲストユーザーがクエリできるオブジェクトとフィールドを最小限に制限してください。AuraInspectorによる自己診断として、Mandiantが公開したAuraInspectorを使って自社のSalesforce Experience Cloud環境の設定ミスを能動的に診断することを推奨します。Salesforce Shield/Event Monitoringの活用として、異常なAPIクエリパターンを検知するためのログ監視を強化してください。


参考情報(主要ソース)