10億件の記録を巡る賭け:セールスフォースの世界を揺るがす高額恐喝
ハッカーがOAuthの脆弱性と旧来の手口を悪用して企業データを盗み出し、2025年10月10日の期限が迫る中、企業は対応に追われている。
ここ数週間で、近年稀に見る大胆なサイバー恐喝キャンペーンが、セールスフォースに不穏な注目を集めている。2,500億ドル規模のCRM最大手である同社が直接的な侵害を受けたわけではない。その代わりに、攻撃者たちはセールスフォースのエコシステムにおける「信頼」を武器にする巧妙な方法を見出したのだ。
自らを「Scattered LAPSUS$ Hunters/ShinyHunters」と名乗るグループは、セールスフォースを通じて業務を運営する約40社から、およそ10億件の記録を吸い上げたとしている。彼らは10億ドル近い金額を要求しており、2025年10月10日までに支払いがなければ、データをオンラインで公開すると脅迫している。
これは単純なソフトウェアの欠陥事例ではない。人間の行動、サードパーティ製アプリを取り巻く脆弱な安全策、そして攻撃者がいかに日常的な信頼を最も鋭いツールに変えるかという物語である。
強奪の経緯
Googleの脅威インテリジェンスグループの調査員と独立系アナリストが、攻撃の手口を解明した。始まりは8月で、ハッカーたちはSalesloft Drift(無数のセールスフォース環境と連携している人気の営業エンゲージメントアプリ)に紐付けられたOAuthトークンを標的にした。一度侵入すると、盗まれたトークンは、通常のAPIコールを通じて顧客データを引き出すための、一見正当なアクセス権を彼らに与えた。これはすぐにアラートを発するようなものではなかった。
これらのトークンを入手するのに、新しい派手なエクスプロイトは必要なかった。代わりに、攻撃者たちは「ヴィッシング」(IT担当者を装った電話)に頼ったのだ。日常的なサポートに協力していると信じ込んだ従業員は、広範な権限を持つ悪意のあるアプリを承認してしまった。これらの承認を得ることで、ハッカーたちは大量のデータセットをひそかに抽出することができ、自動化されたシステムにとっては、すべてが通常の業務に見えたのである。
セキュリティ研究者によると、この手口はUNC6040やScattered Spiderといった既知のグループと一致するという。これらはいずれも、技術的な巧妙さよりもソーシャルエンジニアリングで悪名高い。研究者たちが流出したデータサンプルを検証した後になって初めて、このキャンペーンの驚くべき規模が明らかになった。
セールスフォースの反論
当初からセールスフォースは断固として主張している。同社のコアインフラストラクチャは侵害されていない、と。会社関係者は、この侵害はセールスフォース独自のマルチテナントシステムではなく、サードパーティ連携や電話詐欺に騙された顧客に起因すると強調している。
彼らが真剣であることを示すため、セールスフォースは外部のフォレンジック専門家を招き、法執行機関に連絡し、侵害されたOAuthトークンを失効させ、審査が行われる間、疑わしいアプリをAppExchangeマーケットプレイスから削除した。また、顧客に対し、多要素認証の強化、アプリの権限監査、および不審なデータエクスポートへの注意を促している。
技術的には、セールスフォースの反論は正当である。しかし、世間の認識は異なる。見出しでは、「顧客の設定ミス」よりも「セールスフォースの侵害」の方が注目を集める。同社は今、本当の脆弱性が自社のプラットフォームの外にあることを、顧客と一般の人々の双方に納得させる必要がある。
業界全体への影響
被害企業は、金融、ヘルスケア、小売、テクノロジーといった大企業の有力者名簿のようだ。クラウドフレアはすでに、セールスフォースに関連する顧客サポートデータが8月12日から17日の間に流出したことを認めている。他の企業は沈黙を保っており、おそらく法的審査や損害抑制の対応に追われているのだろう。
このデータが危険なのは、その量だけではない。セールスフォースの「ケース」(サポートチケット)には、しばしばログイン情報、APIキー、その他攻撃者がより深い侵入に利用できる貴重な情報が含まれている。言い換えれば、盗まれたチケットは単なる苦情ではなく、ハッカーにとっては宝の地図なのだ。
信頼、金銭、そして利便性の代償
この一連の出来事は、現代企業が直面する困難な現実を浮き彫りにしている。企業が生産性向上を目指して広範なアプリエコシステムに依存すればするほど、隠れたセキュリティコストは増大するのだ。
アナリストは、セールスフォース自体が大きな経済的打撃を受ける可能性は低いと指摘する。特に複数年契約を結んでいる場合、顧客がCRMシステムを一夜にして放棄することは稀だ。しかし、調達チームは今後、契約に署名する前に、より厳しいセキュリティ保証を要求し、動きが鈍くなるかもしれない。
セールスフォースにとっては利点もある。Shield暗号化や、顧客がデータに対して誰が何をしているかを監視するのに役立つ高度な監視ツールなど、プレミアムなセキュリティアドオンの需要が高まる可能性がある。セールスフォース以外では、アイデンティティガバナンスプラットフォームやSaaSセキュリティ態勢ツールに新たな支出の波が来るかもしれない。要するに、サードパーティアクセスの複雑な網を監視するのに役立つ企業が大きく成功する可能性がある。
10月10日に向けて時が刻々と迫る
ハッカーの期限が刻一刻と迫っている。過去の恐喝キャンペーンを参考にすれば、彼らは圧力を維持するために少量のサンプルを流出させるか、一気に全てを公開する大々的な行動に出るかもしれない。被害企業は、支払いをするのがより痛手なのか、それともデータを公開させるのがより痛手なのかを比較検討することになるだろう。
一方、セールスフォースは、より強固なデフォルト設定の展開を急いでいる。報道によると、同社はOAuth権限の厳格化、トークン有効期間の短縮、およびアプリ許可リストの厳格化に取り組んでいるという。これらの変更が迅速に実施されれば、評判の危機として始まった事態が、セールスフォースが危機的状況下で迅速に適応できることを示し、信頼性向上へと転じる可能性もある。
保険会社も手をこまねいているわけではない。一部の会社はすでに、セールスフォースのセキュリティ衛生対策を更新書類に盛り込み、顧客に一層の保護措置を講じるよう促している。皮肉なことに、最も迅速な変化を促すのは、規制ではなく「お金」なのかもしれない。
投資家にとっての意味
投資家にとっての要点は単純明快だ。恐ろしい見出しと、ビジネスモデルが破綻した状況を混同すべきではない。実際のプラットフォームの欠陥が表面化しない限り、セールスフォースの長期的な強さは維持されるだろう。短期的な株価の下落は、むしろ買い場と捉えられる可能性さえある。
しかし、SaaS業界全体は冷え込みを感じるかもしれない。企業がリスクを再評価するにつれて、アプリ連携の承認は遅くなるだろう。その一方で、OAuthガバナンスとアクセス制御を確立していることを証明できるベンダーは、高い評価を得ることができるかもしれない。
結局のところ、この一件はゼロトラストモデルと継続的なアクセスチェックの重要性が高まっていることを改めて示している。強力なコンプライアンスプログラムを持たない小規模なアプリベンダーは、調達の承認待ちという苦境に陥る可能性がある。
より大きな視点
この恐喝未遂事件は、厳しい真実を浮き彫りにしている。クラウド時代において、最大の危険はしばしば、開かれた扉からではなく、「信頼された接続」を通じて忍び寄るのだ。データはもはやファイアウォールをきれいに通過するものではない。それは何十もの連携アプリを横断して移動し、その一つ一つが潜在的な弱点となり得る。
組織にとって、教訓は明らかだ。もはや正面の門を守るだけでは十分ではない。生産性の名のもとに開いた「裏口」にも目を光らせる必要がある。なぜなら、攻撃者は確実にそこを狙っているのだから。