Bleeping Computerは8月6日(米国時間)、「Google suffers data breach in ongoing Salesforce data theft attacks」において、GoogleのSalesforceインスタンスの1つが侵害され顧客データを窃取されたと報じた。

これはGoogleが6月4日(米国時間)に報じたSalesforceインスタンスへの侵入を目的とするビッシング(音声フィッシング)に続く、新しい詐欺による被害とされる。当時Googleは緩和策と強化策を公開し、セキュリティを大幅に強化できるとしていたが、今回は悔しくも同社が被害者となった(参考:「Salesforceの顧客情報狙うサイバー攻撃、Googleが注意喚起 | TECH+(テックプラス)」)。

  • Google suffers data breach in ongoing Salesforce data theft attacks

    Google suffers data breach in ongoing Salesforce data theft attacks

攻撃を検出するも、対策間に合わず

Googleは8月5日、攻撃を実行した脅威アクター「UNC6040」の分析サイト「The Cost of a Call: From Voice Phishing to Data Extortion | Google Cloud Blog」にて、被害に関する情報を公開した。

この発表によると、今回の攻撃はビッシングを公開した同じ6月に発生したという。同社はUNC6040による攻撃と同様の活動を検出し、緩和策を開始したが、アクセスを遮断するまでのわずかな時間にデータを窃取されたと説明している。

被害に遭ったインスタンスは、中小企業の連絡先情報と関連メモを保存する目的で使用しており、これら情報が窃取されたと報告している。ただ幸いなことに、流出したデータの大部分は公開されているビジネス情報に限られるとのことだ。

脅威アクター「ShinyHunters」による攻撃の可能性

Bleeping Computerによると、この一連のキャンペーンは「ShinyHunters」と名乗る脅威アクターによるものとされる。ShinyHuntersは長年活動を続けており、過去にはPowerSchool、Oracle Cloud、Snowflakeデータ盗難攻撃、AT&T、NitroPDF、Wattpad、MathWayなどの侵害行為に関与したという。

また、Bleeping Computerは8月5日にShinyHuntersと連絡を取ったとして、その会話の一部を公開した。概要は次のとおり。

  • 多くのSalesforceインスタンスに侵入した。攻撃は継続している
  • 1兆ドル規模の企業に侵入した(Googleのことを指しているかは不明)。脅迫ではなくデータ漏洩のみを検討している
  • 他の企業に関しては電子メールを通じて脅迫し、身代金を要求している
  • 脅迫を終えた後は、ハッキングフォーラムからデータを公開するか、販売する予定でいる

Bleeping Computerはアディダス、カンタス航空、アリアンツ生命、Cisco、ルイ・ヴィトン、ディオール、ティファニーがShinyHuntersによる攻撃の被害者に含まれると伝えている。世界中の企業に影響が出ていることから、Salesforceインスタンスを管理する組織には、同様のビッシング攻撃に警戒することが望まれている。