1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. ハッカー集団・脅威アクターに関する動向
  5. ハッカー グループ、複数のSalesforce(セールフォース)利用企業へ不正アクセスし窃取した情報を公開

ハッカー グループ、複数のSalesforce(セールフォース)利用企業へ不正アクセスし窃取した情報を公開

セキュリティニュース

投稿日時: 更新日時:

ハッカー グループ、複数のSalesforce(セールフォース)利用企業への不正アクセスして窃取した情報を公開

ハッカーグループ ShinyHuntersがダークウェブ上のリークサイトで複数企業名を並べた犯行声明を掲出し、Salesforceは3月7日、公開されたExperience Cloudサイトのguest user設定不備を狙う攻撃活動を公表しました。Salesforceは3月11日に調査内容を更新し、この問題はプラットフォーム固有の脆弱性ではなく、顧客側で過剰な権限が付いたguest user設定に起因すると説明しています。

犯行声明の内容

ハッカー グループ、複数のSalesforce(セールフォース)利用企業への不正アクセスして窃取した情報を公開

  • Aura Group
  • CFGI Management
  • Woflow
  • Pathstone.com
  • Odido NL & Ben.nl
  • Beacon Pointe Advisors
  • Mercer Advisors
  • CarGurus

などの企業名が並んでいます。この中には明確にSalesforceからデータを窃取したと記載されている企業があります。

また、ShinyHunters側は、約400サイト、約100の主要組織からデータを取得したと主張し、今後も公表が続く可能性を示唆しています。

一方でSalesforceは、既知の脅威アクター集団によるキャンペーンを監視中としつつ、被害件数公表はしていません。また、リークサイトに掲載されている企業もそれぞれ公式声明を発表していませんので、実際に漏洩の有無はまだ不明です。

関連:オランダ通信大手Odido、不正アクセスで個人情報漏洩 最大620万アカウント規模か

Salesforce本体からの漏洩ではない

今回の件は、Salesforce自体が侵害されて顧客データが一括で漏洩した事案として受け取るべきではありません。

Salesforceは、同社プラットフォームに固有の脆弱性や本体侵害が確認されたわけではなく、公開状態にあるExperience Cloudサイトでguest userに過剰な権限が付与された顧客環境が狙われたと説明しています。つまり、問題の中心はSalesforce本体ではなく、実際のサイバー攻撃は顧客企業ごとの公開設定や権限設計の不備を突かれています。

ShinyHuntersは過去にもSalesforce関連の攻撃キャンペーンを展開していた

ShinyHuntersを名乗るグループ、またはその周辺とみられる攻撃活動は、過去にも複数回にわたってSalesforce顧客やその連携環境を標的にしてきました。

2025年6月のサイバー攻撃

Google Threat Intelligence Groupは2025年6月、UNC6040として追跡する集団がvishingを使ってSalesforceインスタンスへのアクセス権を奪い、大量のデータ窃取とその後の恐喝を行っていたと公表しています。さらに同社は、この侵入後の恐喝活動をUNC6240として追跡しており、被害企業への連絡の中で一貫してShinyHuntersを名乗っていたと説明しています。

その後もSalesforce周辺を狙う動きは続きました。

2025年8月のサイバー攻撃

2025年8月には、Salesloft Driftの第三者連携で使われるOAuthトークンの侵害を起点に、多数のSalesforce顧客環境からデータが持ち出される広域キャンペーンが確認されています。

2025年11月のサイバー攻撃

さらに11月には、Gainsight連携でも200超のSalesforceインスタンスが影響を受けた可能性が指摘され、Googleの分析担当者はこれらの活動がShinyHuntersまたはUNC6240、UNC6040に連なる脅威クラスタとみられると述べています。CyberScoopも今回のExperience Cloud事案を、約6カ月で3度目の大規模なSalesforce顧客狙いの攻撃局面と位置付けています。

関連:Salesforce(セールスフォース)へサイバー攻撃-ハッカーによる不正アクセスで情報漏洩か-シスコ/トヨタ/富士フイルム/Googleに影響か

対策

Salesforceの説明では、攻撃者はMandiantが開発したオープンソースツール Aura Inspector を改変して、公開中のExperience Cloudサイトを大規模にスキャンしているとされています。

元のAura Inspectorは、公開APIエンドポイントのうち /s/sfsites/aura を調べて危険なオブジェクトを特定するためのツールですが、今回の攻撃者はそれを拡張し、単なる識別だけでなく、過剰な権限が付与された guest user profile を悪用して実際にデータを取得できる状態にしたといいます。

Salesforceは対策として

  • 公開APIを無効にする
  • 必要最低限のユーザー設定を行う

としています。

またShinyHuntersはビッシング(ボイスフィッシング)を多用する為、従業員のセキュリティ教育が必要です。

関連記事

ハッカーグループが再びSalesforce(セールフォース)へのサイバー攻撃を主張-Salesforceは設定不備の悪用を主張ハッカーグループが再びSalesforce(セールフォース)へのサイバー攻撃 キャンペーン-Salesforceは設定不備の悪用を主張 Palo Alto Networks(パロアルトネットワークス)、Salesloft Driftへの不正アクセスで顧客情報が流出Palo Alto Networks(パロアルトネットワークス)、Salesloft Driftへの不正アクセスで顧客情報が流出 ジャガーランドローバー、サイバー攻撃の対応コストは1億9,600万ポンド(約392億円)ジャガーランドローバー、サイバー攻撃の対応費用は1億9,600万ポンド(約392億円) ハッカーがTinderやBumble、Match.comなどのマッチングアプリへのサイバー攻撃を主張ハッカーがTinderやBumble、Match.comなどのマッチングアプリへのサイバー攻撃を主張 ハッカーがシスコ,トヨタ,富士フイルム,GoogleなどのSalesforceへ不正アクセスによるサイバー攻撃を主張Salesforce(セールスフォース)へサイバー攻撃-ハッカーによる不正アクセスで情報漏洩か-シスコ/トヨタ/富士フイルム/Googleに影響か SalesforceとSalesloft Driftの連携で拡がった大規模サプライチェーン サイバー攻撃のまとめと解説Salesforce(セールスフォース)とSalesloft Drift 連携で拡がるサプライチェーン サイバー攻撃の解説 サイバー攻撃の事例 【2025年】【2025年】サイバー攻撃の事例 Salesforce(セールスフォース)、ハッカー グループからサイバー攻撃による身代金 要求を拒否Salesforce(セールスフォース)、ハッカー グループによるサイバー攻撃の身代金要求を拒否 salesforce-and-salesloft-drift-related-data-breach-lawsuit-filed-in-californiaSalesforce(セールスフォース)とSalesloft Drift関連のサイバー攻撃による情報漏洩、カリフォルニア州で提訴