1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Salesforceを標的としたボイスフィッシングとソーシャルエンジニアリングによるサイバー攻撃キャンペーン

Salesforceを標的としたボイスフィッシングとソーシャルエンジニアリングによるサイバー攻撃キャンペーン

セキュリティニュース

投稿日時: 更新日時:

Salesforceを標的としたボイスフィッシングとソーシャルエンジニアリングによるサイバー攻撃キャンペーン

2025年6月、GoogleのThreat Intelligence Group(GTIG)は、Salesforce環境を標的としたボイスフィッシング(vishing)を起点とするデータ窃取と恐喝のサイバー攻撃キャンペーンについて詳しい調査結果を公表しました。

この攻撃を仕掛けているのは「UNC6040」と名付けられた金銭目的の攻撃グループで、電話を通じたソーシャルエンジニアリングで従業員を騙し、Salesforceの機密データを盗み出したうえで脅迫するという手口を使っています。

攻撃の概要:SalesforceとData Loader(データローダー)が標的に

まず、攻撃者が企業の社員に電話をかけ、「ITサポート」を名乗って接触します。
その上で、Salesforceの「接続アプリ」設定画面を開くように指示し、そこで改ざんされたData Loaderアプリを承認させるというもの。

攻撃の概要:SalesforceとData Loaderが標的に

画像:GTIG

Data LoaderはSalesforce公式のツールで、大量データのインポート・エクスポートに使われますが、攻撃者はこのツールを偽装し、正規ツールと見分けがつかないような名前(例:「My Ticket Portal」)で仕込んできます。

ユーザーが一度でもこれを承認してしまうと、攻撃者はそのSalesforce環境にアクセスし、データを自在に抜き取れるようになります。しかも、そのデータを使った恐喝行為が、数週間から数ヶ月後に始まるケースもあるとのことです。

Salesforceそのものの脆弱性を突いたものではなく、あくまで“人間”を入口にしているのが特徴です。

技術的な特徴と悪用の実態

この攻撃には、典型的なソーシャルエンジニアリングに加えて、技術的にもいくつかの工夫が見られます。

たとえば、Salesforceに侵入した後は、OktaやMicrosoft 365といった他のクラウドサービスにも横展開。
電話中に被害者を偽のOktaログインページへ誘導し、MFAコードまで聞き出すなど、かなり周到に準備されています。

アクセス元のIPは、Mullvad VPNといった匿名化サービスを経由しており、痕跡を隠す対策もされています。

さらに、データの抜き取り方にも段階があります。最初は小さな単位でテスト的にデータを取得し、異常が検知されないと判断すると一気に大量のデータを持ち出す、という具合です。
これにより、最初のアクセスでは気づかれず、気づいた頃には主要なデータが抜き取られているという状況に陥ります。

Googleの調査では、この手口に「The Com」と呼ばれるサイバー犯罪集団との類似点も見られるとのことで、攻撃者コミュニティ内でTTP(戦術・手法・手順)が共有されている可能性が高いとしています。

すでに複数の業界で被害が発生

この攻撃はすでに始まっており、教育・小売・ホスピタリティ業界など、少なくとも20社以上が被害を受けていると報告されています。
対象地域は北米・ヨーロッパが中心で、英語話者が多い企業の現地法人が狙われがちです。

また、恐喝フェーズが“後出し”でやってくる点も厄介です。
侵害を受けた時点では気づかず、数ヶ月後にShinyHuntersの名を騙った攻撃者から「データを公開されたくなければ金を払え」と連絡がくる、という流れ。

被害企業にとっては、すでにデータを取られたあとで、対処も難しい状況です。

防衛のために取るべき対策:GoogleとSalesforceの推奨事項

この種の攻撃から自社環境を守るには、人と技術の両面での対策が必要です。
GoogleとSalesforceは、以下のようなポイントを挙げています。

最小権限の原則を守る(特にData Loader)

Data Loaderは便利な反面、「API Enabled」などの強力な権限が必要になります。
本当に必要な人だけに絞って付与することが第一歩です。

権限セットやプロファイルは、定期的に棚卸し・見直しを行うようにしましょう。

接続アプリは厳格に管理する

不審なアプリがSalesforceに登録されていないか、接続アプリの一覧を定期的にチェックしましょう。
新規アプリの承認は、**事前審査制や許可制(ホワイトリスト方式)**の導入も効果的です。

「Customize Application」や「Manage Connected Apps」の権限は、管理者の中でも限られたメンバーにのみ与えるべきです。

IP制限を導入する

ユーザーごとにアクセス可能なIPアドレスを指定することで、VPNや匿名プロキシからのアクセスを制限できます。

ログイン履歴の監視と組み合わせれば、異常なアクセスも素早く検知できます。

Salesforce Shieldで監視と制御を強化

Salesforce Shieldの「Event Monitoring」や「Transaction Security Policies」を活用することで、大量データのエクスポートなど不審な操作を検知・ブロックできます。

これらのログは、SIEM製品と連携させて全社的な脅威分析にも使えます。

MFAを徹底し、ユーザー教育も強化する

MFAの導入は今や必須ですが、MFAを突破する“電話による誘導”にも警戒が必要です。

ユーザーに対して、「電話でMFAコードを求められても絶対に伝えない」という基本原則を徹底して教育することが重要です。

参照記事

https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion?hl=en

関連記事

Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 保険見直し本舗 グループ、ランサムウェアによるサイバー攻撃で510万件の個人情報漏洩の可能性保険見直し本舗、ランサムウェアによるサイバー攻撃で約510万件の個人情報漏洩の恐れ TikTokがマルウェアの温床に?AI生成動画でインフォスティーラー拡散させるサイバー攻撃の手口TikTokがマルウェアの温床に?AI生成動画でインフォスティーラーを拡散させるサイバー攻撃の手口 100万超ダウンロードされている、React AriaのNPMパッケージにマルウェアが組み込まれている100万超ダウンロードされている、React Ariaのnpmにマルウェアが組み込まれている-サプライチェーン攻撃か 北朝鮮がサイバー攻撃や仮想通貨、偽装IT労働者活動支援の為にAIを悪用北朝鮮がサイバー攻撃や仮想通貨、偽装IT労働者活動支援の為にAIを悪用 生成AIで安全対策が突破される脆弱性を発見主要なLLMに有効なプロンプト インジェクション「Policy Puppetry」-サイバー攻撃への悪用が容易 Fortinet、FortiVoiceのゼロデイ攻撃に悪用された脆弱性を修正(CVE-2025-32756)Fortinet、FortiVoiceのゼロデイ攻撃に悪用された脆弱性を修正(CVE-2025-32756) 2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査 すかいらーくグループのテイクアウトサイトに不正アクセス-個人情報漏洩の可能性すかいらーくグループのテイクアウトサイトに不正アクセス-個人情報漏洩の可能性