シスコ、ビッシング(ボイスフィッシング)による情報漏洩を公表

セキュリティニュース

投稿日時: 更新日時:

シスコ、ビッシング(ボイスフィッシング)による情報漏洩を公表

2025年8月1日、ネットワーク機器大手のシスコシステムズ(以下、Cisco)は、同社の第三者クラウドベースの顧客管理(CRM)システムの一部から、ユーザー情報が不正に持ち出されたインシデントを公表しました。事案の発端は、同社社員がボイスフィッシング(vishing)と呼ばれる手口によって標的とされ、結果的に攻撃者がCRMシステムに一時的にアクセスし、データをエクスポートしたことにあります。

被害の内容と影響範囲

不正アクセスが行われたのは、Ciscoが利用するCRMシステムのうちの一つのインスタンスで、影響を受けたのはCisco.comに登録していたユーザーの基本プロフィール情報とされています。流出した情報には以下の項目が含まれます。

  • 氏名

  • 組織名

  • 住所

  • Ciscoが割り当てたユーザーID

  • メールアドレス

  • 電話番号

  • アカウント作成日などのメタデータ

Ciscoは、組織顧客の機密情報、パスワード、財務情報などのセンシティブな情報は流出しておらず、同社の製品やサービスへの影響もないと明言しています。また、他のCRMシステムインスタンスは影響を受けていないとのことです。

インシデントの経緯と対応

Ciscoがインシデントを認知したのは2025年7月24日。即座に攻撃者のアクセスは遮断され、同社による調査が開始されました。

現在までに、対象となった個人には法令に基づいて通知が行われており、各国のデータ保護当局とも連携して対応を進めています。

再発防止策として、Ciscoは以下の取り組みを表明しています。

同社は今回のインシデントを「教訓」として位置付け、セキュリティ体制の強化とセキュリティコミュニティへの貢献を継続するとしています。

背景:Salesforceを狙った一連の攻撃か?

今回のCRMはCiscoが利用するサードパーティのクラウド型CRMで、公式には製品名は明らかにされていないものの、情報筋によればSalesforceである可能性が高いと見られています。最近、Salesforce環境を狙ったvishingやソーシャルエンジニアリングによる攻撃が相次いでおり、

ShinyHuntersと呼ばれる脅威グループの関与が指摘されています。

実際に、同様の手口でAdidas、Qantas、Allianz Life、Louis Vuitton、Dior、Tiffany & Co.、Chanelといった複数のグローバルブランドが被害を受けており、CRMデータのセキュリティに対する関心が高まっています。

なお、Ciscoは2024年10月にも、開発者向けポータル「DevHub」が誤設定により公開状態になり、IntelBrokerと名乗る人物により一部非公開データが漏洩する事件を経験しています。