2025年10月、クラウド業界最大手のSalesforceに対する大規模なサイバー攻撃が明るみに出ました。攻撃者グループ「Scattered Lapsus$ Hunters」は、760社から15億件もの記録を窃取したと主張し、身代金を要求しています。しかし、Salesforceは毅然とした態度でこの脅迫に応じないことを明言しました。
現役フォレンジックアナリストとして数多くのインシデント対応に携わってきた経験から言えば、この事件は企業のクラウドセキュリティに対する認識を根本的に見直すきっかけになるでしょう。特に注目すべきは、攻撃手法の巧妙さと、被害企業の対応の違いです。
攻撃の全貌:OAuthトークンとソーシャルエンジニアリングの組み合わせ
今回の攻撃では、攻撃者は複数の侵入経路を使い分けていました。主な手法は以下の通りです:
- OAuthトークンの悪用:Salesloft DriftのOAuthトークンを不正取得し、正当なアクセス権限を装ってデータにアクセス
- ソーシャルエンジニアリング:ユーザーの承認を巧妙に装い、認証情報を騙し取る
- 二要素認証の弱点を突く:2FAの設定が甘いインスタンスを標的に
私がこれまで扱ったフォレンジック事例でも、OAuth認証の脆弱性を悪用した攻撃は急増しています。ある中小企業では、従業員が偽のメールリンクをクリックしたことで、OAuth認証が乗っ取られ、顧客データベース全体にアクセスされた事例がありました。
被害企業の実態:トヨタや富士フイルムも標的に
攻撃者がTor上のリークサイトで公開した企業リストには、世界的に有名な企業が並んでいます:
- 海外企業:Cisco、Disney、IKEA、Marriott、McDonald’s、Walgreens等
- 日本企業:トヨタ、富士フイルム等
これらの企業がすべて実際に被害を受けているかは定かではありませんが、攻撃者の誇大宣伝である可能性も指摘されています。しかし、企業側としては「煙のあるところに火がある」という前提で対策を講じる必要があります。
Salesforceの対応:身代金拒否と積極的な対策
Salesforceの対応は、サイバー攻撃を受けた企業のお手本と言えるでしょう:
1. 明確な方針表明
「身代金の支払いには一切応じない」と公言し、攻撃者との交渉を完全に拒否しました。これは、将来的な攻撃の抑止効果も期待できます。
2. 技術的対策の実施
- DriftのOAuthトークンを全無効化
- AppExchangeから一時撤去
- 再認証を経た段階的な連携再開
3. 透明性のある情報開示
「プラットフォーム自体が侵害された兆候はない」「既知の脆弱性とは無関係」と具体的な状況説明を行いました。
個人・中小企業が学ぶべき教訓
大企業のSalesforceでさえこのような攻撃を受ける現状を踏まえ、個人や中小企業はどのような対策を講じるべきでしょうか。
クラウドサービス利用時の注意点
過去のフォレンジック調査で見えてきた、中小企業でよくある失敗パターンをご紹介します:
- OAuth連携の無制限許可:便利だからと多数のサードパーティアプリを連携し、権限管理が杜撰になる
- 従業員教育の不足:フィッシングメールやソーシャルエンジニアリング攻撃への対策が不十分
- 多要素認証の軽視:設定が面倒という理由で、重要なアカウントでも2FAを有効にしない
ある製造業の中小企業では、営業担当者が偽のSalesforce更新メールをクリックし、認証情報を盗まれました。その結果、顧客の個人情報約3万件が流出し、対応費用だけで500万円以上かかったケースもあります。
即座に実施できる対策
個人や中小企業でも今すぐ実施できる対策をお教えします:
1. セキュリティソフトの導入
まず基本となるのは、高品質なアンチウイルスソフト
の導入です。特に、フィッシングメールやマルウェアの検知機能に優れた製品を選ぶことが重要です。私のフォレンジック経験では、適切なセキュリティソフトを使用していた企業は、被害を最小限に抑えられるケースが多いです。
2. VPN環境の構築
リモートワークやクラウドサービスへのアクセス時は、VPN
を必ず使用しましょう。通信の暗号化により、中間者攻撃やデータの盗聴を防げます。
3. Webサイトの脆弱性対策
自社でWebサイトを運営している企業は、定期的なWebサイト脆弱性診断サービス
を受けることをお勧めします。攻撃者は往々にして、メインシステムではなく、脆弱性のあるWebサイトから侵入してきます。
今後の展望:サイバー攻撃の進化への備え
今回のSalesforce事件は、サイバー攻撃の新しいトレンドを示しています。攻撃者は:
- 単発の攻撃から持続的な圧力へシフト
- 技術的攻撃とソーシャルエンジニアリングの巧妙な組み合わせ
- 集団訴訟への協力など、法的圧力も含めた多角的脅迫
これらの進化する脅威に対抗するには、技術的対策だけでなく、組織全体のセキュリティ意識向上が不可欠です。
まとめ:今すぐ始める「攻撃されない企業」への道
Salesforceの事例から学べることは明確です。どんなに大きな企業でも、サイバー攻撃の標的になる可能性があります。しかし、適切な準備と対策により、被害を最小限に抑えることは可能です。
特に重要なのは:
- 身代金には絶対に応じない強い意志
- 事前の技術的対策の充実
- 透明性のある情報開示と迅速な対応
- 従業員教育の継続的実施
個人や中小企業の皆さんも、「うちは大丈夫」という油断は禁物です。今こそ、基本的なセキュリティ対策を見直し、強化する絶好のタイミングです。
