Googleは2025年8月9日、同社のSalesforce CRMインスタンスの1つが不正アクセスを受け、Google広告の見込み客情報が流出したことを認めました。
流出したのは企業名、電話番号、営業担当者用のメモなどの基本的なビジネス連絡先情報で、決済情報やGoogle Adsアカウント、Merchant Center、Google Analyticsなど他の広告製品データへの影響はないとしています。
目次
攻撃の概要と規模
通知文によると、影響を受けたのはGoogleの営業チームが広告見込み客と連絡を取るために使用していたSalesforceインスタンス。
Googleは具体的な件数を明らかにしていませんが、
脅威グループShinyHuntersは約255万件のレコードを窃取したと主張しています(重複の有無は不明)。
この侵害は、ShinyHuntersと初期侵入を担ったとされるScattered Spiderによる一連のSalesforce顧客への攻撃の一環で、両者は現在「Sp1d3rHunters」として活動を名乗っています。
手口:ソーシャルエンジニアリング+悪意あるData Loader
Google Threat Intelligence Group(GTIG)の調査によると、攻撃者は電話やメールを使ったソーシャルエンジニアリング(ボイスフィッシング/ビッシング)で従業員をだまし、Salesforceの悪意あるOAuth版「Data Loader」アプリをターゲット環境に接続させます。
これによりSalesforce環境全体のデータを一括ダウンロードできる権限を取得し、その後窃取データを基に身代金要求メールを送付します。
GTIGは、攻撃者が従来のSalesforce Data LoaderではなくPythonスクリプトを用いたカスタムツールに移行していることも確認。
これによりデータ窃取の高速化・自動化が可能になっています。
Googleも標的に 脅迫メールと身代金要求
報道によれば、攻撃者はGoogleに対し20BTC(約230万ドル)の支払いを要求しました。ただしShinyHuntersは、その要求は「冗談で送ったもの」と発言しています。
一方で、他の被害企業には本格的な恐喝メールを送り、72時間以内のビットコイン支払いを迫るケースも確認されています。
背景:UNC6040/UNC6240の活動と進化
Googleのレポートによれば、この攻撃は金銭目的の脅威クラスターUNC6040の活動と一致します。UNC6040はSalesforce環境への侵入とデータ窃取を専門としており、その後の恐喝フェーズを担うUNC6240と連携するケースもあります。
特に、初期侵入から数カ月後に恐喝が行われる例があり、窃取データの「二次利用」や別グループとの協力が推測されます。
技術的特徴
-
初期アクセス時にMullvad VPNやTORを利用
-
Salesforce Data Loader改変版やPythonスクリプトによるデータ抽出
-
OktaやMicrosoft 365など他クラウドサービスへの横展開
-
Salesforce「接続アプリケーション」機能を悪用し、悪意あるアプリを正規環境にリンク
-
窃取データを元にした二重脅迫(暗号化+情報公開脅迫)
セキュリティ上の示唆と対策
GTIGは、同様の攻撃に対抗するために以下を推奨しています。
-
データアクセス権限の最小化(特にAPI有効化権限の厳格制御)
-
接続アプリケーションの承認プロセス整備とホワイトリスト化
-
IP制限によるアクセス制御
-
Salesforce Shield等による高度な監視と異常検知
-
多要素認証(MFA)の全社適用とMFA疲労攻撃への教育








