FBIが緊急警告!Salesforceを狙う新手のサイバー攻撃と確実な対策法

「先ほどチケット番号XXXX番の件でお電話差し上げました。システム設定の確認作業が必要なので、画面を開いていただけますか?」

こんな電話を受けたことはありませんか?実はこれ、Salesforceを狙った最新のサイバー攻撃の常套句なんです。

2025年9月12日、FBIが緊急警告を発表しました。サイバー犯罪グループUNC6040とUNC6395による、巧妙なSalesforce攻撃の手口が明らかになったのです。この攻撃、従来のパスワード破りとは全く違う「正規の手続きを悪用する」という恐ろしいものでした。

電話一本で会社のデータが盗まれる時代

私がフォレンジック調査で実際に扱った事例をお話しします。ある中小企業で「システム障害の復旧作業」と称した電話があり、IT担当者が指示通りにSalesforceの設定を変更したところ、翌月になって顧客データが全て流出していることが発覚しました。

攻撃者の手口は実に巧妙でした:

  • IT サポートを装った「ビジネスライクな」電話
  • 「緊急のチケット対応」という名目
  • 「業務委託先の標準手順」という安心感
  • Connected App への OAuth 承認を「安全な設定」として誘導

一度承認されると、攻撃者は長期間有効なトークンを手に入れ、多要素認証(MFA)を完全に迂回してデータにアクセスし続けます。まさに「正面玄関の鍵を渡してしまった」状態です。

API経由の大量データ窃取という新たな脅威

もう一つの攻撃手法UNC6395は、さらに巧妙でした。SalesloftやDriftといった営業支援ツールとの連携を悪用し、流出したOAuthトークンを使って複数の企業のSalesforceに同時侵入するのです。

実際の被害企業では、以下のような痕跡が残されていました:

  • 深夜時間帯のAPI呼び出し急増
  • 通常業務では使わない大量のExport処理
  • CLI tools特有のUser-Agentでのアクセス
  • ブラウザログインには一切痕跡なし

恐ろしいのは、この手法では管理者が異変に気付くまでに数ヶ月かかることです。気付いた時には、顧客情報から営業データまで全てが抜き取られ、暗号資産での身代金要求メールが届くという状況でした。

今すぐ実践できる具体的対策

FBIの警告を受けて、企業が今すぐ取るべき対策をご紹介します。私の経験上、これらの対策を怠った企業で重大インシデントが発生するケースが後を絶ちません。

1. コールセンター・ITサポート窓口の強化

「設定変更の電話依頼は一切受けない」というルールの徹底が必要です。正規の依頼であっても、必ず社内の別ルートで確認を取る仕組みを作りましょう。

2. フィッシング抵抗性MFAの導入

従来のSMSやアプリ認証では、この攻撃を防げません。FIDO2キーやWindows Hello for Businessなど、フィッシング攻撃に耐性のある認証方式への移行が急務です。個人レベルでもVPN 0で通信を保護し、アンチウイルスソフト 0で端末のセキュリティを強化することが重要です。

3. Connected Appの徹底管理

Salesforce管理者は以下を今すぐチェックしてください:

  • 現在承認されているConnected Appの全リスト
  • 各アプリの権限スコープと最終使用日
  • 不明なアプリや長期間未使用のアプリの削除
  • API トークンの定期ローテーション

4. API アクティビティの監視強化

以下の異常な API 活動パターンを検知できる仕組みが必要です:

  • 営業時間外の大量API呼び出し
  • 通常業務で使わないExport処理の連続実行
  • CLI tools特有のUser-Agentでのアクセス
  • 地理的に異常な場所からのアクセス

中小企業でも実現可能なセキュリティ対策

「うちは小さな会社だから大丈夫」と思っていませんか?実際のところ、中小企業の方が狙われやすいのが現実です。セキュリティ体制が手薄で、かつ大企業の取引先データにアクセスできる「踏み台」として価値があるからです。

私が調査した中小企業の事例では、攻撃者は小規模なシステム会社のSalesforceから大手クライアントの情報を入手し、さらなる攻撃の足がかりにしていました。

中小企業でも実現可能な対策として:

  • 月次でのConnected Appレビュー
  • 従業員向けフィッシング訓練の定期実施
  • クラウド型セキュリティサービスの活用
  • Webサイト脆弱性診断サービス 0による定期的な脆弱性チェック

これらを組み合わせることで、限られた予算でも効果的なセキュリティ対策が可能です。

インシデント発生時の初期対応

もし不審な電話や異常なAPI活動を発見した場合の対応手順も重要です:

  1. 即座に該当アプリの承認を取り消し
  2. 全APIトークンのリセット
  3. アクセスログの保全
  4. 影響範囲の特定
  5. 必要に応じて当局への通報

初期対応が遅れると被害が拡大し、復旧により多くの時間とコストがかかります。

まとめ:今すぐ行動を

Salesforceを狙った新手のサイバー攻撃は、従来のセキュリティ対策では防げない巧妙な手口です。電話一本で正規の手続きを悪用し、MFAを迂回してデータを窃取する攻撃者に対抗するには、包括的なセキュリティ対策が不可欠です。

特に重要なのは:

  • 社員教育の徹底(特にコールセンター・IT担当者)
  • Connected Appの定期的な監査
  • API活動の継続的な監視
  • フィッシング抵抗性認証の導入

「まだ被害に遭っていないから大丈夫」ではありません。攻撃者は数ヶ月かけて静かにデータを抜き取り、最後に身代金を要求してくるのです。

今すぐSalesforceの設定を確認し、不審なConnected Appがないかチェックしてください。そして、従業員への注意喚起を忘れずに。あなたの会社のデータと信頼を守るのは、今この瞬間の行動にかかっています。

一次情報または関連リンク

タイトルとURLをコピーしました