投稿日時: 更新日時:
2025年11月21日、クラウドストライク(CrowdStrike)は、社内情報を外部に提供した疑いのある社員を先月に解雇していたと公表しました。
概要
発端は、ハッカーグループ Scattered Lapsus$ Hunters(ShinyHunters/Scattered Spider/Lapsus$の連合)がテレグラム上に社内ダッシュボードや従業員用 Okta SSO 画面のスクリーンショットを掲載したことです。
クラウドストライクは自社システムの侵害や顧客データの流出は確認されていないと強調し、問題は従業員が画面写真を外部に共有した行為だと説明しています。事案は関係当局へ通報済みです。

脅威側の主張
脅威連合は当初、「Gainsight 侵害を足掛かりに CrowdStrike に到達した」と主張しましたが、同社は誤情報だとして否定しました。
ハッカーグループはさらに、約2万5,000ドルで内部協力者を勧誘し、SSO の認証クッキーを入手したとも述べています。これに対し同社は、検知時点で当該社員のアクセスを遮断しており、継続的な不正アクセスは成立していないと説明しています。
インシデントの性質
今回明らかになったのは人(インサイダー)を起点とする情報露出であり、ネットワーク侵害やデータ持ち出しの痕跡はないという結論です。
公開されたのは画面の静止画像に限られ、認証基盤や端末・クラウド資産への横展開を示す証拠は示されていません。社内調査で当該従業員の行為を特定し、解雇と同時にアクセス権を失効させています。
背景:Scattered Lapsus$ Hunters の攻勢
この連合は2025年、音声フィッシング(vishing)やインサイダー勧誘を軸にSalesforce 連携エコシステムを狙う攻撃を継続しています。10月にはSalesforce 利用企業の9億件規模のデータ窃取を主張し、保険・航空・小売・高級ブランドなど著名企業名を列挙しました。
最近は、外部連携で得た OAuth トークンや SSO 情報の悪用や、新たな RaaS 基盤(ShinySp1d3r)*への移行をうかがわせる動きも見られます。
組織への示唆(実務要点)
-
インサイダーリスク管理を強化します:画面キャプチャの検知・制御、DLP、ブラウザ隔離などで画面・ログ・チケットの外部共有を抑止します。
-
ゼロトラストの徹底を図ります:IdP/SSO にMFA を強制し、デバイス姿勢・所在・時間帯に応じた条件付きアクセスを適用します。
-
認証クッキー対策を実施します:短寿命化やデバイスバインド、高リスク時の再認証を必須化します。
-
検知と隔離の自動化を進めます:Okta などのリスクシグナル連携で自動失効・自動隔離を行い、アプリ横断の異常アクセスを行動分析で即遮断します。
-
人への防御を強化します:買収・勧誘の通報窓口を周知し、vishing を含む攻撃シミュレーションを継続的に実施します。
一部参照
CrowdStrike catches insider feeding information to hackers
関連記事
Salesforce(セールスフォース)へサイバー攻撃-ハッカーによる不正アクセスで情報漏洩か-シスコ/トヨタ/富士フイルム/Googleに影響か
Oktaがソーシャルエンジニアリング型のフィッシング攻撃について注意喚起
クラウドストライクのEDR、Falcon Insight徹底解説 高度な脅威検出とリアルタイム対応の最前線
クラウドストライクはデルタ航空がIT障害の為の無償支援を拒否したと主張
ハッカーがRed Hat(レッドハット)へのサイバー攻撃と不正アクセスを主張
カンタス航空とベトナム航空、サイバー攻撃で個人情報漏洩の恐れ-ハッカーによるSalesforce(セールスフォース)への不正アクセスが影響
【2025年】サイバー攻撃の事例
Windowsでブルースクリーンが表示され使用不可にCrowdStrike(クラウドストライク)が原因
2025年に発生したボイスフィッシング(ビッシング)の事例
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ製品を手がける上場企業にて、SOC(セキュリティオペレーションセンター)運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)