サイバーセキュリティ研究者らが、 Salesforce を利用する企業を標的とした巧妙なソーシャルエンジニアリング攻撃を発見した。攻撃者は IT サポートスタッフになりすまし、機密顧客データへの不正アクセスを獲得している。この攻撃により、米国と欧州の少なくとも20の組織が侵害されており、企業環境における人間中心のサイバー攻撃の持続的な脅威が浮き彫りになっている。
攻撃統計と影響
| 指標 | 詳細 |
|---|---|
| 侵害を受けた企業 | 少なくとも20組織 |
| 地理的範囲 | United States と Europe |
| 主要標的プラットフォーム | Salesforce CRM システム |
| 二次標的 | Microsoft 365 、 Okta |
| 攻撃手法 | 音声フィッシング( vishing ) |
| 恐喝タイムライン | 初期侵害から数ヶ月後に要求を発行 |
音声フィッシング攻撃の手法
この攻撃の背後にいるサイバー犯罪者らは、ビッシング(音声フィッシング)として知られる、見かけ上は単純だが効果的なアプローチを採用している。攻撃者は従業員に直接電話をかけ、組織の正当な IT サポート担当者になりすます。これらの通話中、疑いを持たない従業員らは偽の Salesforce セットアップページにアクセスするよう誘導され、正当な Salesforce Data Loader アプリケーションに見える物をダウンロードするよう指示される。
この悪意のあるバージョンのツールは、本物のソフトウェアと同一に見えるが、攻撃者に組織の Salesforce データベースへの直接アクセスを許可する。インストールされ接続されると、犯罪者らは大量の機密顧客記録やビジネスデータを即座にクエリ、アクセス、エクスポートできる。別のシナリオでは、攻撃者は電話中に従業員から直接ログイン認証情報と多要素認証コードを要求する。
 |
|---|
| 照らされたノートパソコンのキーボードは、音声フィッシング攻撃の際に攻撃者が悪用するデジタルプラットフォームを象徴している |
帰属と犯罪ネットワークの関連性
Google の Threat Intelligence Group は、これらの攻撃の主要グループを UNC6040 として特定している。同グループは音声ベースのソーシャルエンジニアリング技術を専門としている。しかし、この作戦は複数の犯罪組織が連携して関与しているようだ。実際の恐喝要求は、初期のデータ窃取から数ヶ月後まで表面化しないことが多く、二次グループが作戦の収益化段階を処理していることを示唆している。
これらの攻撃者は、主に米国、英国、西欧を拠点とするハッカーの緩やかに関連したネットワークである The Com として知られる、より広範なサイバー犯罪エコシステムとのつながりを実証している。悪名高い Scattered Spider グループを含むこの集団のメンバーらは、以前に IT スタッフのなりすましや暗号通貨窃取を標的とした SIM スワッピング作戦を含む注目度の高い攻撃に関連していた。
犯罪グループと帰属
| グループ名 | 役割 | 特徴 |
|---|---|---|
| UNC6040 | 主要攻撃者 | 音声フィッシングソーシャルエンジニアリングを専門とする |
| The Com | より広範なネットワーク | 米国、英国、西欧出身のハッカーらが緩やかに関連 |
| Scattered Spider | 関連グループ | IT スタッフなりすまし攻撃で知られる |
| ShinyHunters | 提携を主張するパートナー | 被害者への恐喝を支援するとされる |
技術インフラとアクセス方法
攻撃者らは活動を隠蔽するために巧妙な作戦セキュリティ対策を採用している。彼らは侵害された Salesforce 環境にアクセスするために Mullvad VPN IP アドレスを利用し、セキュリティチームにとって帰属と追跡をより困難にしている。初期アクセスが確立されると、犯罪者らは高度な横移動能力を実証し、 Microsoft 365 や Okta システムを含む他のクラウドベースプラットフォームへとリーチを拡大する。
このグループの手法は単純な認証情報窃取を超えている。彼らは複数のチャネルを通じて認証情報を体系的に収集し、これらの認証情報を使用して標的組織のインフラ内の様々なクラウドサービス全体で持続的なアクセスを確立する。
業界への影響と最近の侵害の背景
この攻撃は、主要小売業者や企業を標的とするサイバー攻撃がエスカレートしている背景の中で浮上している。最近数ヶ月間、4月のランサムウェア攻撃により営業利益に3億英ポンドの影響を受けている Marks & Spencer Group を含む著名ブランドに影響する重大なセキュリティインシデントが発生している。その他の影響を受けた組織には Co-op Group 、 Adidas AG 、 Victoria's Secret & Co. 、 Cartier 、 North Face が含まれるが、 Google の調査ではこれらのインシデントと Salesforce に焦点を当てた攻撃との明確な関連は示されていない。
最近の企業サイバー攻撃の影響
| 企業 | 影響 | 時期 |
|---|---|---|
| Marks & Spencer Group | 営業利益に3億 GBP の打撃 | 2024年4月 |
| Co-op Group | サイバー攻撃を公表 | M&S 事件の直後 |
| Adidas AG | サイバーセキュリティインシデント | 最近数週間 |
| Victoria's Secret & Co. | セキュリティ侵害 | 最近数週間 |
| Cartier | サイバーセキュリティインシデント | 最近数週間 |
| North Face | セキュリティ侵害 | 最近数週間 |
プラットフォームセキュリティとベンダーの対応
Google と Salesforce の両社は、これらの攻撃がプラットフォーム自体の技術的欠陥ではなく、人間の脆弱性を悪用していることを強調している。 Salesforce の代表者らは、同社のサービスに固有の脆弱性がこれらの侵害に寄与していないことを確認した。同社は以前、3月のブログ投稿で顧客に類似のソーシャルエンジニアリング戦術について警告し、そのような攻撃に対する保護のためのガイダンスを提供していた。
これらのインシデントは、十分に訓練された従業員でさえ説得力のあるなりすまし試行の犠牲になり得る、サイバーセキュリティにおけるソーシャルエンジニアリングの持続的な課題を浮き彫りにしている。広範なセキュリティ意識向上トレーニングプログラムにもかかわらず、攻撃者らは技術的悪用よりも直接的な人間操作を通じて成功を収め続けている。