Google、Salesforceへの不正アクセスでGoogle広告の見込み客情報が漏洩

セキュリティニュース

投稿日時: 更新日時:

Google、Salesforceへの不正アクセスでGoogle広告の見込み客情報が漏洩

Googleは2025年8月9日、同社のSalesforce CRMインスタンスの1つが不正アクセスを受け、Google広告の見込み客情報が流出したことを認めました。

流出したのは企業名、電話番号、営業担当者用のメモなどの基本的なビジネス連絡先情報で、決済情報やGoogle Adsアカウント、Merchant Center、Google Analyticsなど他の広告製品データへの影響はないとしています。

攻撃の概要と規模

通知文によると、影響を受けたのはGoogleの営業チームが広告見込み客と連絡を取るために使用していたSalesforceインスタンス。

Googleは具体的な件数を明らかにしていませんが、

脅威グループShinyHuntersは約255万件のレコードを窃取したと主張しています(重複の有無は不明)。

この侵害は、ShinyHuntersと初期侵入を担ったとされるScattered Spiderによる一連のSalesforce顧客への攻撃の一環で、両者は現在「Sp1d3rHunters」として活動を名乗っています。

手口:ソーシャルエンジニアリング+悪意あるData Loader

Google Threat Intelligence Group(GTIG)の調査によると、攻撃者は電話やメールを使ったソーシャルエンジニアリングボイスフィッシング/ビッシング)で従業員をだまし、Salesforceの悪意あるOAuth版「Data Loader」アプリをターゲット環境に接続させます。


これによりSalesforce環境全体のデータを一括ダウンロードできる権限を取得し、その後窃取データを基に身代金要求メールを送付します。

GTIGは、攻撃者が従来のSalesforce Data LoaderではなくPythonスクリプトを用いたカスタムツールに移行していることも確認。

これによりデータ窃取の高速化・自動化が可能になっています。

Googleも標的に 脅迫メールと身代金要求

報道によれば、攻撃者はGoogleに対し20BTC(約230万ドル)の支払いを要求しました。ただしShinyHuntersは、その要求は「冗談で送ったもの」と発言しています。

一方で、他の被害企業には本格的な恐喝メールを送り、72時間以内のビットコイン支払いを迫るケースも確認されています。

背景:UNC6040/UNC6240の活動と進化

Googleのレポートによれば、この攻撃は金銭目的の脅威クラスターUNC6040の活動と一致します。UNC6040はSalesforce環境への侵入とデータ窃取を専門としており、その後の恐喝フェーズを担うUNC6240と連携するケースもあります。


特に、初期侵入から数カ月後に恐喝が行われる例があり、窃取データの「二次利用」や別グループとの協力が推測されます。

技術的特徴

  • 初期アクセス時にMullvad VPNTORを利用

  • Salesforce Data Loader改変版やPythonスクリプトによるデータ抽出

  • OktaやMicrosoft 365など他クラウドサービスへの横展開

  • Salesforce「接続アプリケーション」機能を悪用し、悪意あるアプリを正規環境にリンク

  • 窃取データを元にした二重脅迫(暗号化+情報公開脅迫)

セキュリティ上の示唆と対策

GTIGは、同様の攻撃に対抗するために以下を推奨しています。

  • データアクセス権限の最小化(特にAPI有効化権限の厳格制御)

  • 接続アプリケーションの承認プロセス整備とホワイトリスト化

  • IP制限によるアクセス制御

  • Salesforce Shield等による高度な監視と異常検知

  • 多要素認証(MFA)の全社適用とMFA疲労攻撃への教育