2025年9月21日、自動車大手 Stellantis(ステランティス)(Jeep、クライスラー、フィアットなど14ブランドを保有)は、北米のカスタマーサービス業務を支える「第三者サービス提供事業者」のプラットフォームで不正アクセスを検知し、顧客の基本的な連絡先情報が流出したと公表しました。
金融情報や機微データは含まれないと説明しています。
概要
Stellantis は北米のカスタマーサービス業務を支える第三者サービス提供事業者のプラットフォームで不正アクセスを検知し、顧客の「基本的な連絡先情報」が流出したと公表しました。現時点で、金融情報や機微な個人情報は含まれていないと説明しています。同社はインシデントレスポンスを発動し、関係当局への通報と影響顧客への個別通知、そしてフィッシングへの注意喚起を開始しています。
一方で、脅威グループ ShinyHunters は今回の事案を含む Salesforce 侵害の連鎖攻撃を主張しており、Stellantis の Salesforce から数千万規模の連絡先データを窃取したと示唆しています。
公式な技術詳細は未公表ですが、同時期に FBI や複数のセキュリティベンダが Salesforce 連携を狙った大規模なデータ窃取キャンペーンを警告しており、
今回の説明と時期が合致します。
攻撃の手口
Stellantis は「第三者提供者の基盤」への不正アクセスとだけ述べていますが、一連の事案は、ここ数週間で拡大している「Salesforce関連のデータ窃取キャンペーン」の可能性が指摘されています。
脅威グループShinyHuntersは、StellantisのSalesforce環境から1,800万超のレコード(氏名・連絡先など)を入手したと主張。BleepingComputerの取材でも、Stellantis事案はSalesforceを狙った同キャンペーンの一部だと報じられています。
FBI の FLASH でも、2025年8月に UNC6395 が Salesloft の Drift/Drift Email 連携に関連する 流出 OAuth トークン を用いて多数の企業の Salesforce からデータをエクスポートしたと明記されています。
この手口が事実であれば、「第三者(連携アプリ/ベンダ)の認可情報が盗取される → 認可済みの API として正規の経路で CRM データが抜かれる」という構図になり、単純なパスワード漏えいや単一企業内の脆弱性悪用とは性質が異なります。
Stellantis が公表する「基本的な連絡先情報の流出」という被害像は、Salesforce の Contact/Account オブジェクト中心に大量抽出が行われる今回の攻撃特性とも矛盾しません。
参照
Automaker giant Stellantis confirms data breach after Salesforce hack
Stellantis detects breach at third-party provider for North American customers








