Ars Technicaは10月9日(米国時間)、「Salesforce says it won’t pay extortion demand in 1 billion records breach - Ars Technica」において、Salesforceが身代金の支払いを拒否したと伝えた。

これは2025年に発生した2件のサイバー攻撃によるデータ漏洩の被害を指すとみられる。これら事案ではSalesforceインスタンスから数十社の顧客データ、合計で約10億件のレコードが漏洩したとされる。いずれも脅威グループ「Scattered Lapsus$ Hunters(別名: UNC6040)」によるものとみられ、データ漏洩サイトで攻撃が主張されていた。

  • Salesforce says it won’t pay extortion demand in 1 billion records breach - Ars Technica

    Salesforce says it won’t pay extortion demand in 1 billion records breach - Ars Technica

トヨタなど39社のデータ窃取と主張

Ars Technicaによると、脅威グループは今月初めにデータ漏洩サイトを作成し、トヨタ、FedExを含むSalesforceの顧客39社のデータ窃取を主張したという。同グループはSalesforceに対して身代金の交渉に応じるよう呼びかけ、応じられない場合は顧客データを公開すると脅迫したとされる。

Salesforceは10月8日(現地時間)、顧客宛のメールにて「Salesforceはいかなる脅迫にも応じず、交渉もせず、また支払いもしないことを保証します」と述べ、身代金要求に応じないことを伝えたという。この方針決定により、各被害企業は情報漏洩を前提とした対策が必要になる。

身代金の支払いは攻撃を激化させる

この決定についてはセキュリティ関係者を中心に、好意的に受け止める声が伝えられている。脅威グループへの身代金の支払いは犯罪者に報酬を与えることになり、さらなる攻撃の増加につながる可能性があるためだ。

Ars Technicaはセキュリティ研究者の「この連鎖を断ち切るべきだ」との声明を伝え、企業は身代金ではなく保険を活用すべきだとしている。