1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Salesforce(セールスフォース)へサイバー攻撃-ハッカーによる不正アクセスで情報漏洩か-シスコ/トヨタ/富士フイルム/Googleに影響か

Salesforce(セールスフォース)へサイバー攻撃-ハッカーによる不正アクセスで情報漏洩か-シスコ/トヨタ/富士フイルム/Googleに影響か

セキュリティニュース

投稿日時: 更新日時:

ハッカーがシスコ,トヨタ,富士フイルム,GoogleなどのSalesforceへ不正アクセスによるサイバー攻撃を主張

2025年10月、ハッカーグループ Scattered Lapsus$ Hunters(別名:ShinyHunters、Scattered Spider、Lapsus$)がダークウェブ上のリークサイトでマクドナルドやシスコ、トヨタ、フジフィルム、GoogleなどのSalesforce (セールスフォース)へ不正アクセスによるサイバー攻撃を行い、

9億845万件のレコードを取得したと主張しています。

ハッカーがシスコ,トヨタ,フジフィルム,GoogleなどのSalesforceへ不正アクセスによるサイバー攻撃を主張

侵入した期間

2024年半ば

掲載企業

ハッカーがトヨタやディスニーなどへサイバー攻撃を主張

KFCや富士フィルムなどのサイバー攻撃を主張

合計39社が掲載されており、以下が一部企業です。 変更なし: 合計39社が掲載されており、以下が一部企業です。
・Google アドセンス
・シスコ
・ディズニー/Hulu
・富士フイルム
・トヨタ
・GAP
・UPS
・KFC
・マクドナルド
・ケリング・グループ(グッチ、バレンシアガ、ブリオーニ、アレキサンダー・マックイーン)
・プーマ
・カルティエ
・ホームデポ

Salesforceを利用している場合

複数の攻撃手法による侵入が確認されていますが、まずはSalesDriftとの連携を確認し停止。

また、悪意のあるデータローダー/CLI の使用を監査し、異常な User-Agent 文字列と大量のエクスポートがないかログを確認する必要があります。

Scattered Lapsus$ Hunters(スキャタード・ラプサス・ハンターズ)の犯行声明(和訳)

侵害データの概要(Compromised Data Overview)

本メッセージは、Salesforce, Inc. が当方によってハッキングされ、重大な情報セキュリティ侵害に直面していることを正式に通知するものです。

機微な本人特定情報(PII)を含む約10億件のレコードが、貴社のシステムから流出しました。

当方が取得した処理済みデータには、多数のプライバシー規制の対象となる情報が含まれています。当方の保有下にある以上、貴社は越境的な法的リスクに直接さらされています。

その他のレコードには戦略的価値があり、これが公開されれば Salesforce, Inc. の市場での地位が損なわれる可能性があります。

また、貴社が2要素認証(2FA)やその他のOAuthアプリ向けセキュリティを強制していないため、名称を伏せた他のインスタンス100件超からもデータをダンプしました。

これらの要求に応じない場合、最終的に侵害データをすべて公開し、上記で述べたあらゆる結果がエスカレートすることになります。予防措置を講じていなかったため、貴社はその影響への対応を多大に迫られることになるでしょう。

企業の完全な一覧および各社のデータサンプルについて、より多くの情報は要請があれば提供可能です。

当方の要求に従わない場合、期限である2025年10月10日以降、貴社に対して民事・商事訴訟を進めている多くの法律事務所に公然と協力します。具体的には、当方の要求に応じない場合、Berger Montague法律事務所と協力します。影響を受けた企業の完全な一覧、侵害に関する情報、各社のデータサンプルを提供するだけでなく、これらの企業および各社の影響を受けた個人にも連絡し、貴社に対する訴訟を支援するための手順を伝達します。

さらに、貴社が運転免許証、生年月日、社会保障番号など(これらに限定されません)を含むPIIへの不正アクセスを防ぐための取り組みをほとんど、あるいは全く行っていなかったことを、公に文書化します。例えば2025年7月、当方は shinygroup[at]tuta[.]com から挑発的なメールを送りましたが、貴社は当方を阻止するためのさらなる予防措置を一切講じませんでした。これは当方の主張を裏付けるものであり、これを公表して証拠を示せば、貴社にとって不利になるでしょう。

また、欧州GDPRやCCPA、HIPAAなど多数の類似法に基づくデータ管理者として、貴社が当方の1年に及ぶ活動期間の間に、どのようにすればこの種の侵入やデータ窃取を防げたかを明確に示した完全な文書も提出します。

この文書には、当方の攻撃の実行方法、当方のリクエストのフィンガープリント、そして明確に定義されたこのネットワークトラフィックのパターンがいかに容易に遮断できたかという技術的詳細が含まれます。さらに、米国やカリフォルニア、欧州、そして韓国や中国といったデータ保護の厳格な国々を含む世界各地で、何名が影響を受け、どのデータ項目が露出したのかという具体的な詳細も記載します。

最後に、刑事上の過失(Criminal Negligence)に問うべき根拠があることも、当方の文書で示唆します。Salesforceには、これらの単純なデータ侵害を防ぐために合理的なセキュリティ対策を実装する注意義務がありました。攻撃が発生しているという情報も提供され、攻撃を阻止するための合理的な努力を行う時間と機会もありました。攻撃が数か月にわたり発生していたことを踏まえると、当方は貴社がこれらの攻撃に対して刑事上過失があると考えます。

当方の文書は米国カリフォルニア北部地区連邦地方裁判所に直接提出し、報道関係者や民事・商事訴訟の弁護士と公開の場で対話し、寄せられる質問には回答します。

おそらく貴社の弁護士からも知らされているとおり、貴社はGDPR第32条第2項に従い、データ処理に伴うリスク、特に送信・保存・その他の処理が行われる個人データの不正な開示やアクセスによって生じるリスクを考慮して、適切なセキュリティ水準を評価し、あらゆる措置を講じる責任を負っています。当方の活動が1年に及ぶことから、貴社には負債やリスクを評価し、同条第2項に基づく措置を講じる時間があったと言えます。

ご存じのとおり、これらは非常に容易かつ迅速に回避できます。

繰り返しますが、当方は貴社のシステムに完全にアクセスできます。身代金の要求が満たされない場合、貴社のデータは完全に公開されます。

要求に従う場合、貴社顧客に対する現在進行中または保留中の個別交渉からは手を引きます。貴社が支払えば、貴社の顧客が当方から再び攻撃を受けたり、身代金を要求されたりすることはありません。貴社が当方と交渉に応じるなら、この点についてさらに詳細な説明が可能です。

エンタープライズ級のデータ取扱いとカスタマーケア。
当方は高付加価値の企業データの取得と戦略的侵入作戦を専門としています。自動車、金融、保険、テクノロジー、通信、ISPなど、世界中の多様なセクターにわたる専門性を有しています。貴社が主導権を取り戻すことを支援します。

Salesforce、影響した顧客へのサポートを継続提供

Recorded Future Newsからコメントを求められたセールスフォースの広報担当者は、

「そのサイトについては認識しており、法執行機関とサイバーセキュリティの専門家とともに調査中」

「調査結果から、これらの攻撃は過去の、あるいは根拠のないインシデントに関連していることが示唆されており、影響を受けたお客様へのサポート提供を継続しています。現時点では、Salesforceプラットフォームが侵害されたという兆候はなく、また、今回の活動は当社の技術における既知の脆弱性に関連するものでもありません」と回答しています。

日本企業は海外法人や海外顧客の情報漏洩か

セキュリティ対策 Labで富士フイルムやトヨタ社などのサンプルデータを確認すると、日本人の情報は記載されておらず海外法人や顧客の可能性があります。

標的型攻撃メールに注意

セキュリティ対策 Labで各企業のサンプルデータを確認すると主な漏えい対象は海外法人に見えますが、法人名や電話番号、法人メールなども漏洩しているため

標的型攻撃標的型攻撃メールに注意する必要があります。

脅威アクターの概要

Scattered Lapsus$ HuntersはShinyHunters、Scattered Spider、Lapsus$といった名称でサイバー攻撃を行っておりGoogleはこれらの活動をUNC6040およびUNC6395として追跡しています。

Scattered Lapsus$ Hunters(ShinyHunters)によるSalesforce攻撃

Scattered Lapsus$ Hunters(ShinyHunters)は複数のソーシャルエンジニアリング手法でSalesforceを標的型としたサイバー攻撃を行っています。

ITサポート担当になりすまし、Salesforce Data Loader経由でアクセスする

Google の脅威インテリジェンス グループ (GTIG) によると、攻撃は英語を話す IT サポート担当者になりすまし、標的の従業員に Salesforce Data Loader への接続を承認するように要求します。

Salesforce Data Loader は、Salesforce 環境内でユーザーがデータをインポート、エクスポート、更新、または削除できるようにするクライアント アプリケーションでこの脅威アクターは、電話で被害者を説得して Salesforce Connect 設定ページを開き、「接続コード」を入力させ、アクターが制御するデータローダーを被害者の環境にリンクさせることで、これを悪用します。

SalesforceとSalesloft Drift の連携を悪用

脅威アクターはSalesloftのGitHubリポジトリへ侵入し、TruffleHogセキュリティ ツールを使用してソースコードの秘密をスキャンしその結果、Salesloft Drift および Drift Email プラットフォームの OAuth トークンを発見。

窃取したSalesloft Driftのトークンを用いて各社のSalesforceテナントへAPI経由でアクセスし、サポートケースやサポート連絡の本文や連絡先情報などを大量にエクスフィルトレーション(持ち出し)しました。

影響は数百社規模に及んだと見られ、Cloudflare、Zscaler、Palo Alto Networks、Proofpoint、BeyondTrust、CyberArk、Workivaなどの著名企業が、Salesforce内データ(主にテキスト情報)への不正アクセスと初動対応を公表しました。SalesforceとSalesloftは連携を一斉に無効化し、DriftアプリはAppExchangeから撤去されています。

加えて、調査の過程でDrift Email連携のOAuthトークンも標的になり、一部構成でGoogle Workspaceの限定的アクセスが確認されたことから、Driftに保存・接続されたすべての認証トークンを侵害前提で扱うことが強く推奨されています。

継続して犯行声明を主張

2025年10月、ハッカーグループ Crimson Collective は、Red Hat(レッドハット)へ不正アクセスし内部 Git リポジトリ 2万8千件から圧縮で約570GBのデータを盗み出したと主張しました。

さらに 「Scattered Lapsus$ Hunters」との連携を強調し、現在、Red Hat(レッドハット)の顧客向けコンサル資料(CERs)や各種トークン、インフラ構成情報を公開すると脅迫しています。

関連記事

Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 SonicWall(ソニックウォール)、不正アクセスで全クラウドバックアップ 顧客のファイアウォール 設定が盗まれるSonicWall(ソニックウォール)、不正アクセスで全クラウドバックアップ 顧客のファイアウォール 設定が盗まれる Gmailのアカウント 情報、最大25億人分が漏洩の可能性-パスワード変更を推奨Googleへ不正アクセス、Gmail アカウント 情報の最大25億人分が漏洩の可能性-パスワード変更を推奨 SalesforceとSalesloft Driftの連携で拡がった大規模サプライチェーン サイバー攻撃のまとめと解説Salesforce(セールスフォース)とSalesloft Drift 連携で拡がるサプライチェーン サイバー攻撃の解説 ランサムウェア グループ Qilin(キリン)とはランサムウェア グループ Qilin(キリン、キーリン)とは 高齢者向けFacebook グループでマルウェアを拡散-端末乗っ取り、資金詐取まで高齢者向けFacebook グループでマルウェアを拡散-端末乗っ取り、資金詐取まで 2025年 病院・クリニックへのサイバー攻撃・情報漏洩事例と セキュリティ対策2025年 病院・クリニックへのサイバー攻撃やインシデントによる情報漏洩 事例と対策 保険見直し本舗 グループ、ランサムウェアによるサイバー攻撃で510万件の個人情報漏洩の可能性保険見直し本舗、ランサムウェアによるサイバー攻撃で約510万件の個人情報漏洩の恐れ TikTokがマルウェアの温床に?AI生成動画でインフォスティーラー拡散させるサイバー攻撃の手口TikTokがマルウェアの温床に?AI生成動画でインフォスティーラーを拡散させるサイバー攻撃の手口