スカッタードLAPSUS$ハンターズが10億件データ窃取を主張 – 企業が今すぐ講じるべき対策とは

2025年10月、サイバーセキュリティ業界に衝撃的なニュースが駆け抜けました。「スカッタードLAPSUS$ハンターズ」と名乗るハッカー集団が、Salesforceを利用する企業から約10億件もの個人情報を窃取したと主張したのです。

この事件は、単なるデータ漏洩事故ではありません。現代企業が直面するサイバー脅威の新たな形態を示す重要な事例といえるでしょう。

事件の概要:LAPSUS$グループの新たな脅威

今回の攻撃を実行したとされる「スカッタードLAPSUS$ハンターズ」は、これまでにも様々な企業を標的としてきた悪名高いハッカー集団です。彼らは2025年に入ってから、以下の有名企業への攻撃も実行したと認めています:

  • 英国小売大手 Marks & Spencer
  • 英国自動車メーカー Jaguar Land Rover

特に注目すべきは、今回の攻撃手法です。従来のようにSalesforce本体を狙うのではなく、Salesforceのサービスを利用している個々の企業を標的にしたという点が革新的(?)でした。

「ビッシング」攻撃の恐怖 – 人間の心理を突く巧妙な手口

今回使われた攻撃手法「ビッシング(Vishing)」は、Voice(音声)とPhishing(フィッシング)を組み合わせた造語です。これは電話を使った詐欺手法で、メールによるフィッシングよりもさらに巧妙で危険な攻撃方法として知られています。

私がフォレンジック調査を担当した過去の事例では、ある中小製造業の経理担当者が「IT部門」を名乗る人物からの電話で、「システムメンテナンスのためログイン情報の確認が必要」と言われ、思わずIDとパスワードを教えてしまったケースがありました。結果として、その企業の顧客データ約3万件が漏洩し、対応費用だけで数百万円の損失を被ったのです。

ビッシング攻撃の特徴と危険性

  • 即座の反応を求める:「緊急事態」を演出し、相手に考える時間を与えない
  • 権威性の悪用:IT部門や上司を名乗り、相手を萎縮させる
  • 社会工学の活用:事前に収集した企業情報を使って信憑性を高める
  • 技術的検知が困難:メールフィルターなどの自動検知システムを回避

企業規模を問わない脅威 – あなたの会社も標的になり得る理由

「うちは中小企業だから狙われない」という考えは、もはや通用しません。実際に、私が担当したフォレンジック調査の約6割は従業員数100名以下の企業でした。

なぜ中小企業が狙われるのでしょうか?

  1. セキュリティ対策の甘さ:大企業に比べてセキュリティ投資が少ない
  2. 従業員のセキュリティ意識:定期的な研修が実施されていない場合が多い
  3. サプライチェーンの一環:大企業への足がかりとして利用される
  4. 発覚までの時間:監視体制が不十分で、被害の発見が遅れがち

ある地方の建設会社では、従業員15名という小規模でありながら、大手ゼネコンとの取引があることから狙われ、設計図面や顧客情報約8,000件が流出しました。被害総額は損害賠償を含めて約1,200万円に達し、廃業寸前まで追い込まれたのです。

今すぐ実施すべき対策 – CSIRTが推奨する防御策

1. 従業員教育の徹底

最も重要なのは人的要因への対策です。以下のポイントを全従業員に周知しましょう:

  • 電話でのパスワード開示は絶対禁止
  • 緊急を装った要求には一度電話を切って確認
  • 不審な電話は必ず上司に報告
  • 定期的なフィッシング訓練の実施

2. 技術的対策の強化

多要素認証の導入
パスワードだけに依存しない認証システムは必須です。特にSalesforceなどのクラウドサービスを利用している企業は、即座に多要素認証を有効化してください。

アンチウイルスソフト 0の活用
企業端末には必ず高性能なアンチウイルスソフト 0を導入し、リアルタイムでの脅威検知を行いましょう。個人利用の端末でも、業務でアクセスする可能性がある場合は同様の対策が必要です。

3. ネットワークセキュリティの見直し

リモートワークが当たり前になった現在、VPN 0の利用は企業にとって必須となっています。特に、従業員が自宅から会社のシステムにアクセスする際は、必ず企業グレードのVPN 0を経由するよう義務付けるべきです。

Webアプリケーションの脆弱性対策も忘れずに

今回の事件はSalesforceの顧客を標的としたものでしたが、企業が運営するWebサイト自体の脆弱性も見逃せません。私が調査した事例では、ECサイトの脆弱性を突かれ、顧客のクレジットカード情報が漏洩したケースが複数ありました。

企業のWebサイトやWebアプリケーションには、定期的なWebサイト脆弱性診断サービス 0を実施することを強く推奨します。脆弱性は日々新しく発見されるため、年1回程度の定期診断では不十分です。少なくとも四半期に1回、理想的には毎月の診断実施を検討してください。

被害を受けた場合の対応手順

万が一、同様の攻撃を受けてしまった場合の対応手順をまとめておきます:

  1. 即座に該当システムを隔離
  2. インシデント対応チームの招集
  3. 証拠保全の実施
  4. 関係機関への報告(警察、監督官庁など)
  5. 顧客・取引先への通知準備
  6. メディア対応の準備

特に証拠保全については、フォレンジック調査の専門家に依頼することが重要です。不適切な初動対応により、攻撃者の痕跡が消失してしまうケースが後を絶ちません。

まとめ:今こそセキュリティ投資を見直すべき時

スカッタードLAPSUS$ハンターズによる今回の事件は、サイバー攻撃の手法が日々進化していることを改めて示しました。特に「ビッシング」のような人間の心理を突く攻撃は、技術的対策だけでは防げません。

重要なのは、技術的対策と人的対策の両輪で臨むことです。アンチウイルスソフト 0VPN 0Webサイト脆弱性診断サービス 0といったセキュリティツールの導入に加え、従業員教育の徹底が不可欠です。

「うちの会社は大丈夫」という根拠のない安心感ほど危険なものはありません。今回の事件を機に、自社のセキュリティ体制を根本的に見直してみませんか?

サイバー攻撃による被害は、金銭的損失だけでなく、企業の信頼失墜、事業継続の危機にも直結します。「転ばぬ先の杖」として、今すぐにでもセキュリティ対策の強化に着手することをお勧めします。

一次情報または関連リンク

スカッタードLAPSUS$ハンターズ、10億件のデータ盗んだと主張 Salesforce顧客標的 – ITmedia NEWS

タイトルとURLをコピーしました