Stellantis（Jeep・クライスラー）がサイバー攻撃で顧客データ流出、Salesforce連携攻撃の実態とは

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

Stellantis（ステランティス）データ流出事件の概要
脅威グループShinyHuntersによるSalesforce連携攻撃の実態
1. 攻撃の詳細メカニズム
FBIも警告する大規模攻撃キャンペーンの一部
個人・中小企業が今すぐ取るべき対策
1. 個人レベルでの防御策
2. 企業向けの緊急対策
リモートワーク環境でのセキュリティ強化
フォレンジック調査から見える攻撃の巧妙化
今後の対応と継続的な監視の重要性
一次情報または関連リンク

Stellantis（ステランティス）データ流出事件の概要

2025年9月21日、自動車業界に衝撃が走りました。Jeep、クライスラー、フィアットなど14ブランドを展開する世界大手自動車メーカーStellantis（ステランティス）が、顧客データの流出を公表したのです。

公式発表では「北米のカスタマーサービス業務を支える第三者サービス提供事業者のプラットフォームで不正アクセスを検知し、顧客の基本的な連絡先情報が流出した」とされています。幸い、金融情報や機微な個人データは含まれていないとのことですが、実はこの事件の背後には、より深刻な攻撃手法が隠されているのです。

脅威グループShinyHuntersによるSalesforce連携攻撃の実態

CSIRTの現場で数多くのインシデント対応に携わってきた経験から言うと、今回の事件は単なる「よくあるデータ流出」ではありません。脅威グループShinyHuntersが主張する攻撃手法は、企業のクラウドセキュリティの根幹を揺るがす深刻な問題を浮き彫りにしています。

攻撃の詳細メカニズム

ShinyHuntersは、StellantisのSalesforce環境から**1,800万超のレコード**（氏名・連絡先など）を入手したと主張しています。その手口は以下の通りです：

OAuth認可トークンの窃取：第三者連携アプリ（今回はSalesloft の Drift/Drift Email 連携）の認可情報を入手
正規API経由でのデータ抽出：盗んだトークンを使い、正当な認可として大量のCRMデータをエクスポート
検知回避：正規の経路を使うため、従来のセキュリティソリューションでは発見が困難

この攻撃手法の恐ろしさは、「認可済みのAPIとして正規の経路で」データが抜き取られることです。つまり、企業側からすると「正常な業務アクセス」に見えてしまうため、発見が遅れがちなのです。

bgt?aid=250920794415&wid=001&eno=01&mid=s00000007238007011000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

FBIも警告する大規模攻撃キャンペーンの一部

実は、Stellantisの事件は単発ではありません。FBI の FLASH（Flash Alert System for Homeland security）でも、2025年8月にUNC6395がSalesloft連携を悪用した同様の攻撃を多数の企業に対して実行したと警告しています。

フォレンジック分析の現場では、このような「サプライチェーン攻撃の一種」として分類される事案が急増しています。特に中小企業では、以下のような被害パターンが頻発しています：

営業チームがSalesforceと連携した便利ツールを無許可で導入
IT部門が把握していない第三者アプリの認可状況
OAuth権限の定期的な見直しが行われていない

個人・中小企業が今すぐ取るべき対策

個人レベルでの防御策

今回の事件で流出したのは「基本的な連絡先情報」とされていますが、これらの情報は標的型フィッシング攻撃の材料として悪用される可能性が高いです。

特に注意すべきは：

Stellantis関連企業を装ったフィッシングメール
自動車ローンやサービス契約を口実とした詐欺電話
個人情報の「確認」を求める偽サイトへの誘導

こうした脅威から身を守るため、アンチウイルスソフトの導入は必須です。最新のアンチウイルスソフトなら、フィッシングサイトへのアクセスをリアルタイムでブロックし、マルウェア感染も防げます。

企業向けの緊急対策

企業においては、以下の対策が急務です：

OAuth認可の棚卸し：Salesforce等のSaaSに連携している全アプリの権限を確認
アクセス監視の強化：異常な大量データ抽出の検知体制構築
従業員教育：無許可アプリ連携の禁止徹底
定期的な権限見直し：不要になった連携アプリの権限削除

特にWebサイトを運営している企業では、Webサイト脆弱性診断サービスの実施により、同様の攻撃ベクトルがないかを事前に確認することが重要です。

リモートワーク環境でのセキュリティ強化

在宅勤務が一般化した現在、個人の環境からも企業のSaaSにアクセスすることが増えています。今回のような攻撃は、個人の端末が感染した場合にも拡大する可能性があります。

VPN の利用により、通信経路の暗号化と怪しいサイトへのアクセス制限を行うことで、追加的な保護層を構築できます。特に公共Wi-Fi利用時には、VPN なしでの業務は非常に危険です。

フォレンジック調査から見える攻撃の巧妙化

実際のインシデント対応現場では、今回のような「正規API経由」の攻撃は発見が非常に困難です。ログ上は正常なアクセスとして記録されるため、従来の異常検知システムでは捉えきれません。

中小企業のケースでは、攻撃に気づくのは以下のようなタイミングが多いです：

顧客から「変なメールが届いた」という連絡
競合他社から営業攻勢を受けるようになった
セキュリティベンダからの侵害通知

つまり、被害が発覚した時点で既に大量のデータが窃取された後なのです。

今後の対応と継続的な監視の重要性

Stellantisは既にインシデントレスポンスを発動し、関係当局への通報と影響顧客への個別通知を開始しています。しかし、流出したデータの悪用は今後も続く可能性があります。

企業としては：

定期的なセキュリティ監査の実施
第三者連携アプリの継続的な見直し
従業員向けセキュリティ教育の充実
インシデント対応計画の策定と訓練

これらの取り組みが不可欠です。

bgt?aid=250609106858&wid=001&eno=01&mid=s00000018459001011000&mc=1

今回のStellantis事件は、現代のサイバー攻撃がいかに巧妙化しているかを示す典型例です。単なる技術的な対策だけでなく、組織全体でのセキュリティ意識向上と、継続的な監視体制の構築が求められています。

個人も企業も、「自分は大丈夫」という過信は禁物です。適切なセキュリティ対策を講じ、常に最新の脅威情報にアンテナを張っておくことが、被害を最小限に抑える唯一の方法なのです。