セールスフォースは、今年同社の顧客に影響を与えた大規模なデータ盗難攻撃の背後にいる脅威行為者と交渉したり、身代金を支払ったりしないことを確認した。
Bloombergが最初に報じたように、セールスフォースは火曜日、身代金を支払わないと顧客に電子メールを送り、「信頼できる脅威情報」が脅威行為者が盗まれたデータの流出を計画していることを示していると警告した。
「セールスフォースは、いかなる恐喝要求にも関与せず、交渉もせず、支払いもしないことを確認できる。
この声明は、”Scattered Lapsus$ Hunters “として知られる脅威行為者が、セールスフォースからデータを盗まれた39社を恐喝しようとしているデータ流出サイトを立ち上げたことを受けたものである。このウェブサイトはbreachforums[.]hnドメインに設置されており、このドメイン名は、盗まれたデータの販売や流出で知られる悪名高いハッキングフォーラム、BreachForumsウェブサイトにちなんで名付けられた。
データ流出サイトで恐喝されていた企業には、FedEx、Disney/Hulu、Home Depot、Marriott、Google、Cisco、Toyota、Gap、Kering、McDonald’s、Walgreens、Instacart、Cartier、Adidas、Sake Fifth Avenue、Air France & KLM、Transunion、HBO MAX、UPS、Chanel、IKEAなどの有名ブランドや組織が含まれていた。
脅迫者は、合計で約10億件のデータレコードを盗んだと主張し、個々の企業から恐喝要求が支払われた場合、またはサイトに掲載されている影響を受けたすべての顧客をカバーするSalesforceからの単一の支払いとして、公に公開されることになる。
ソースは こちら:
このデータは、2025 年に発生した 2 回のキャンペーンで Salesforce インスタンスから盗まれたものです。
最初のデータ盗難キャンペーンは2024年末に始まり、脅威行為者がITサポートスタッフになりすましてソーシャルエンジニアリング攻撃を開始し、従業員を騙して悪意のあるOAuthアプリケーションを自社のSalesforceインスタンスに接続させました。
接続が完了すると、脅威者はこの接続を利用してデータベースをダウンロードし、窃取しました。
これらのソーシャルエンジニアリング攻撃は、Google、Cisco、Qantas、Adidas、Allianz Life、Farmers Insurance、Workday、Kering、LVMH の子会社(Dior、Louis Vuitton、Tiffany & Co など)に影響を与えました。
第二のSalesforceデータ盗難キャンペーンは2025年8月初旬に始まり、脅威者は盗んだSalesLoft Drift OAuthトークンを使って顧客のCRM環境にピボットし、データを流出させました。
セールスロフトのデータ盗難攻撃は、主にサポートチケットデータを盗み、認証情報、APIトークン、認証トークン、および攻撃者が同社のインフラストラクチャとクラウドサービスに侵入するためのその他の機密情報をスキャンすることに重点を置いていました。
Salesloft攻撃の背後にいた脅威行為者の1人で、ShinyHuntersとして知られる人物は、このキャンペーン中に760社を超える企業の約15億件のデータレコードを盗んだと語った。
Google、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、JFrog、Nutanix、Qualys、Rubrik、Cato Networks、Palo Alto Networksなど、多くの企業がSalesloftのサプライチェーン攻撃の影響を受けたことをすでに確認している。
最近開設されたデータ流出サイトは、主に当初のソーシャルエンジニアリング攻撃で顧客を恐喝するために使用されており、脅威行為者は10月10日以降にSalesloft攻撃の影響を受けた人々に対して公に恐喝を開始すると述べていました。
しかし、データ流出サイトは現在閉鎖されており、ドメインは現在surina.ns.cloudflare.comとhans.ns.cloudflare.comのネームサーバーを使用している。
このドメインを押収したかどうかについてFBIに問い合わせたが、現時点では回答は得られていない。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
今年のセキュリティ検証イベントPicus BASサミット
Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。
セキュリティ戦略の未来を形作るイベントをお見逃しなく。
Comments