Salesforceを狙うボイスフィッシング攻撃が急増!UNC6040の手口と今すぐできる対策

Salesforceユーザーを狙う新たな脅威が急増している

最近、企業のSalesforceアカウントを狙った巧妙なボイスフィッシング攻撃が相次いでいます。私たちCSIRTでも、この手の攻撃による被害相談が急激に増加しており、特に多国籍企業の支社が標的となるケースが目立っています。

Googleのサイバー脅威インテリジェンスチーム(GTIG)によると、「UNC6040」と呼ばれる攻撃者グループが数カ月にわたって組織的にSalesforceインスタンスを狙った攻撃を展開しており、その手口は従来のメール型フィッシングとは大きく異なる特徴を持っています。

UNC6040の巧妙な手口とは?

IT担当者を装った音声での心理操作

この攻撃の最も危険な点は、攻撃者が組織内のIT担当者を装って直接電話をかけてくることです。私が調査した事例でも、攻撃者は以下のような手口で従業員を騙していました:

  • 組織の内部情報を事前に調査し、実在するIT担当者の名前を使用
  • 「システムメンテナンスのため」「セキュリティ強化のため」などの理由で認証情報を要求
  • 英語でのコミュニケーションが多い多国籍企業の支社を狙い撃ち
  • 緊急性を演出し、被害者の判断力を鈍らせる

実際の被害事例

ある中堅商社では、攻撃者が本社のIT部門を装って海外支社の営業担当者に電話をかけ、「緊急のセキュリティアップデートのため」としてSalesforceの認証情報を聞き出しました。その結果、顧客情報約3,000件が窃取され、後日恐喝メールが送られてきたという事例もあります。

なぜSalesforceが狙われるのか?

企業の機密情報の宝庫

Salesforceには以下のような機密情報が集約されており、攻撃者にとって非常に魅力的なターゲットとなっています:

  • 顧客の個人情報・企業情報
  • 営業活動の詳細データ
  • 契約情報や取引履歴
  • 従業員の連絡先情報
  • 社内の組織構造

恐喝につながる情報価値

窃取された情報は、単純な転売だけでなく、企業への恐喝材料として使われることが多いのが特徴です。私が対応した案件では、攻撃者が「顧客情報を公開されたくなければ身代金を支払え」と要求するケースが増えています。

今すぐ実践すべき対策

1. 多要素認証の必須化

最も効果的な対策は、Salesforceアカウントに対する多要素認証(MFA)の導入です。パスワードだけでなく、スマートフォンアプリやハードウェアトークンを使った二段階認証を設定することで、たとえ認証情報が漏洩しても不正アクセスを防げます。

2. 従業員教育の強化

IT担当者を装った電話での認証情報要求は、正当な業務では決して行われません。以下のルールを社内で徹底しましょう:

  • 電話での認証情報要求には一切応じない
  • 疑わしい電話を受けた場合は、必ず本人確認を行う
  • 緊急性を強調されても、冷静に対応する

3. アクセス権限の適切な管理

Salesforceへのアクセス権限を最小限に留め、定期的な権限見直しを実施することが重要です。特に離職者のアカウント削除は迅速に行いましょう。

4. セキュリティソフトの導入

企業レベルでのセキュリティ対策として、従業員のPC環境を保護するアンチウイルスソフト 0の導入は必須です。フィッシング攻撃の多くは、メールやWebサイトを通じて仕込まれるマルウェアと連携しているためです。

万が一被害に遭った場合の対処法

初動対応の重要性

もし攻撃を受けた疑いがある場合は、以下の手順で迅速に対応しましょう:

  1. 該当アカウントの即座の無効化
  2. アクセスログの確認と保全
  3. 影響範囲の特定
  4. 関係者への連絡
  5. 専門機関への相談

フォレンジック調査の必要性

被害の全容を把握するためには、専門的なフォレンジック調査が不可欠です。どのような情報がいつ窃取されたか、攻撃者の手口はどうだったかを正確に把握することで、再発防止策を立てることができます。

リモートワーク環境での追加対策

VPN使用の重要性

リモートワークでSalesforceにアクセスする場合、公共Wi-Fiなどの不安定なネットワークを使用することがあります。このような環境では、通信内容を暗号化するVPN 0の使用が不可欠です。

Webサイト脆弱性の定期チェック

企業のWebサイトに脆弱性があると、攻撃者がそこから社内ネットワークに侵入し、Salesforceへのアクセス権を奪取する可能性があります。定期的なWebサイト脆弱性診断サービス 0により、こうしたリスクを事前に発見・対処することができます。

まとめ:継続的な対策が企業を守る

UNC6040によるSalesforceを狙ったボイスフィッシング攻撃は、従来の手口とは異なる巧妙さを持っています。しかし、適切な対策を継続的に実施することで、被害を防ぐことは十分可能です。

特に重要なのは、技術的な対策だけでなく、従業員の意識向上も含めた総合的なセキュリティ対策です。攻撃者は常に新しい手口を開発していますが、基本的な対策をしっかりと実施している企業は、被害を最小限に抑えることができています。

今回紹介した対策を参考に、あなたの組織のSalesforceセキュリティを今一度見直してみてください。

一次情報または関連リンク

ITmedia – Salesforceから社内ネットワークへ侵入、被害が急増する音声フィッシング攻撃とは

タイトルとURLをコピーしました