2025 年 09 月 29 日
Salesforce CRM を狙った Vishing 攻撃
~ 2025 年 7-8 月の脅威動向と代表的な攻撃(後編) ~
前編「SharePoint の脆弱性を悪用した攻撃」は こちら
2. Salesforce CRM を狙った Vishing 攻撃
2025/07 以降、Salesforce CRM を狙った攻撃で Louis Vuitton(ルイ・ヴィトン)や Google 等複数の企業が攻撃を受けています。こちらは脆弱性を狙ったものではなく、Vishing 等でユーザーを騙して最終的に Salesforce CRM のデータを盗んでいる模様です。以下では、この攻撃についてまとめています。
2-1. エグゼクティブ サマリー
| 項目 | 内容 |
|---|---|
| Who(誰が) | ShinyHunters (UNC6040, Sp1d3rHunters) |
| When(いつ) | 2025 年 5 月ごろから GTIG (Google Threat Intelligence Group) により活動が観測される。 |
| Where(どこで) | 特に活動場所を問わない。 |
| What(何を) | Salesforce CRM のデータを盗み脅迫。 |
| Why(なぜ) | 金銭目的と思われる。 |
| How(どのように) | IT 担当者を騙って Vishing を用い、ユーザーに不正なプログラムの実行を促し、Salesforce に接続させる。 |
| 回避策 | 重要なサービスへの認証には MFA を義務化。 |
2-2. Who(誰が)
攻撃者
Google Threat Intelligence の調査の結果、同社はこの攻撃を
- Shiny Hunters (UNC6040)
と結びつけています。
1. Shiny Hunters (UNC6040)
Shiny Hunters は、2020 年から活動が観測されている、金銭的利益を目的とするサイバー犯罪グループです。このグループは、企業、組織、政府機関など、幅広い標的に対して高度な攻撃を仕掛けることで知られています。ShinyHunters は通常、フィッシング攻撃やエクスプロイトキットを用いて被害者のネットワークにアクセスし、マルウェアを仕掛けて機密データを盗みます。
近年では、Vishing(Voice Phishing)などの高度なソーシャルエンジニアリング攻撃を用いて攻撃を仕掛けています。例えば IT サポートスタッフになりすまして従業員を騙し、認証情報を開示させたり、悪意のある OAuth アプリケーションを実行させたりします。
また、Shiny Hunters は BleepingComputer に対して「Shiny Hunters と Scattered Spider は同一人物だ」と主張しており、攻撃者が重複している事を主張するために自身を「Sp1d3rHunters」と呼んでいる模様です。
被害者
現在判明している限りでは、下記の様な企業・団体が被害に遭っています。
- LVM (Louis Vuitton, Dior, Tiffany & Co. などを参加に持つコングロマリット企業 )
- Qantas Airline(カンタス航空:オーストラリア)
- Allianz Life(アリアンツ生命:元々アリアンツ生命保険株式会社として、イオンフィナンシャルサービスの子会社でしたが、現在は日本市場からは撤退)。
- PANDORA(デンマーク発のジュエリーブランド)
- Adidas(アディダス)
- Workday
2-3. When(いつ)
以下、被害者の時系列になります。実際の被害発生を赤字にしてあります。
| 日時 | 内容 | 被害企業 |
|---|---|---|
| 2025/04/08 | Tiffany Korea にデータ侵害発生(後日調査で判明)。 | LVMH |
| 2025/05/07 | Dior がデータ漏洩を報告。韓国と中国が影響を受けたことを確認。フルネーム・性別・電話番号・メールアドレス・郵便番号・購入履歴等が漏洩。 | LVMH |
| 2025/05/09 | Tiffany Korea でデータ漏洩を確認。漏洩した情報には、氏名、住所、電話番号、メールアドレス、社内顧客 ID 番号、購入履歴が含まれており、ディオールの侵害と同様に、消費者の観点から特に機密性の高いデータとされている。 | LVMH |
| 2025/05/23 | Adidas が「攻撃者がサードパーティのカスタマーサービスプロバイダーを通じて特定の顧客データを入手した為調査している」と公表。 | Adidas |
| 2025/06 | Google がデータ侵害を受ける。 | |
| 2025/06/30 | Qantas Airline でデータ侵害発生。 | Qantas Airline |
| 2025/07/02 | Qantas Airline がデータ侵害を発表。570 万人の顧客情報が流出。 | Qantas Airline |
| 2025/07/02 | Louis Vuitton にデータ侵害発生。 | LVMH |
| 2025/07/16 | Alianz Life が使用する CRM に攻撃者がアクセス。 | Alianz Life |
| 2025/07/17 | Alianz Life がデータ侵害を認識。 | Alianz Life |
| 2025/08/05 | Google がデータ侵害を公開。被害者にメールを送信済み。 | |
| 2025/08/05 | PANDORA でもデータ侵害を認める。侵害時期は明らかにされていない。 | PANDORA |
| 2025/08/06 | Workday がデータ侵害を公開。侵害時期は明らかにされていない。 | Workday |
2-4. Where(どこで)
被害組織の特徴としては「Salesforce CRM」を使用していることです。Salesforce は BleepingComputer に対して「説明されている問題が当社のサービスに固有の脆弱性に起因する兆候は無い」としています。
Salesforce からは Salesforce 環境をソーシャルエンジニアリングから保護する方法について説明したブログが公開されています。
2-5. What(何を)
N/A
2-6. Why(なぜ)
金銭目的と推定されています。さらに ShinyHunters は BleepingComputer に対して「将来的には身代金を支払わない企業の大量の売却や漏洩を実行する予定である」と述べているそうです。
2-7. How(どのように)
ShinyHunters の攻撃手法を、Google Threat Intelligence Group (GTIG) の資料を中心にしてまとめます。
Vishing(ビッシング)とは
Vishing(ビッシング)とは、電話や音声メッセージを利用して、個人情報や金融情報を不正に取得する詐欺行為のことです。英語の「voice ( 音声 )」と「phishing ( フィッシング )」を組み合わせた造語です。日本での「特殊詐欺」をイメージしていただくとわかりやすいと思います。
UNC6040 の戦術
UNC6040 は音声フィッシング(Vishing)キャンペーンを用いています。特に IT ヘルプデスクになりすまして電話を行い、ユーザーに PC 操作をさせることでネットワーク侵入します。
GTIG が観察したすべてのケースで、攻撃者は Salesforce 固有の脆弱性を悪用するのではなく、エンドユーザーに PC を操作させ、組織の Salesforce ポータルへの悪意のある接続アプリケーションを承認させています。
このアプリケーションは Salesforce のデータローダーの改変版であり、Salesforce によって承認されていません。攻撃者は電話の中で被害者を Salesforce の接続アプリケーション設定ページにアクセスさせ、正規のものとは異なるデータローダーアプリケーションを承認させています。
データローダーは Salesforce が開発したアプリケーションです。OAuth をサポートし、Salesforce の「接続アプリケーション」機能を介して「アプリケーション」を直接統合できます。脅威アクターはこれを悪用し、電話で被害者に Salesforce Connect の設定ページを開いて「接続コード」を入力させ、攻撃者のデータローダーを被害者の環境にリンクさせます。
( 図は GTIG:The Cost of a Call: From Voice Phishing to Data Extortionより引用。攻撃者は8桁の接続コードを入力するように電話で指示する)
いくつかのケースでは UNC6040 による最初の侵入活動から数か月経って初めて恐喝活動が観測されるケースもあり、これは UNC6040 が他の脅威アクターと提携して、窃取したデータへのアクセスを金銭化している可能性を示唆します。
IoC
以下は UNC6240 による脅迫メール送信元アドレスになります。
- shinycorp@tuta[.]com
- shinygroup@tuta[.]com
2-8. 緩和・対策
Google では Salesforce を使用している組織に対して以下の対策を推奨しています。
- データアクセスツールに関しては、最小権限の原則を遵守
- 接続アプリケーションへのアクセスを厳格に管理
- IP ベースのアクセス制限の適用
- Salesforce Shield による高度なセキュリティ監視とポリシー適用
- 多要素認証(MFA)の適用
CISA/FBI も ScatteredSpider の資料を 7/29 に更新し下記を追加しています。
- アカウントの不正使用に対する監視を強化
英国 NCSC でも、小売店への同様の被害が拡大していることを受けて
- MFA の適用
- 不正なアカウントの不正使用に対する監視を強化
- ドメイン管理者、エンタープライズ管理者、クラウド管理者のアカウントに特に注意し、アクセスが正当かどうかを確認
- ヘルプデスクのパスワードリセットプロセスを確認し、ヘルプデスクがパスワードをリセットする前にスタッフの資格情報を認証する方法を確認
などを推奨しています。
2-9. 参考情報
- The Cost of a Call: From Voice Phishing to Data Extortion
- ShinyHunters (Malpedia)
- Fashion giant Dior discloses cyberattack, warns of data breach
- Exclusive: Tiffany confirms data breach in South Korea following Dior incident
- ShinyHunters behind Salesforce data theft attacks at Qantas, Allianz Life, and LVMH
- Qantas data breach exposes the weakness of offshoring as class action mooted
- Qantas confirms data breach impacts 5.7 million customers
- Louis Vuitton says regional data breaches tied to same cyberattack
- QANTAS CYBER INCIDENT
- UPDATE ON QANTAS CYBER INCIDENT
- UPDATE ON QANTAS CYBER INCIDENT: WEDNESDAY 9 JULY 2025
- Data Security Information (Adidas)
- Data Breach Notifications (Allianz Life)
- The Cost of a Call: From Voice Phishing to Data Extortion
- Google confirms data breach exposed potential Google Ads customers' info
- Protecting You From Social Engineering Campaigns: An Update From Workday
- Pandora confirms data breach amid ongoing Salesforce data theft attacks
- Incidents impacting retailers - recommendations from the NCSC
- Scattered Spider
2025 年 7-8 月の脅威動向一覧
2025 年 7-8 月の脅威動向を見るために、以下で発生したインシデント・攻撃を羅列します。
- 国際関係に起因するインシデント・攻撃
- CISA/FBI/DC3/NSA がイランによるサイバー攻撃に関して注意喚起
- “Batavia” というスパイウェアがロシア企業を標的に
- NCSC が脆弱性研究イニシアチブを通じて脆弱性研究コミュニティの参加を促す
- 「Eastwoods」作戦:ユーロポールが、ウクライナ・EU 加盟国を標的に DDoS 攻撃を行っていた NoName057(16) を壊滅
- Salt Typhoon が米国の National Security Guard に侵入
- UK が、ロシア軍情報機関によるスパイ活動ツールの使用を非難
- ウクライナ、XSS ロシアハッキングフォーラムの管理者 ( 容疑者 ) を逮捕
- ロシアの航空会社 Aeroflot、サイバー攻撃を受けて数十便の運航停止
- 北朝鮮が背後にいる脅威アクター「Kimsuky」がデータ漏洩被害に遭う
- ロシアが背後にいると思われる Curly COMrades
- ペンシルベニア州司法長官の電子メールとサイトがサイバー攻撃でダウン
- APT44(Sandworm) がノルウェーのダムを破壊
- マルウェア・ランサムウェア・その他のインシデント・攻撃
- ICC( 国際刑事裁判所 ) が高度な標的型サイバー攻撃を受ける
- macOS を狙う暗号窃盗マルウェア「NimDoor」、駆除されても復活
- Qantas 航空がサイバー攻撃を受ける
- イギリスで M&S, Coop などへのサイバー攻撃で四人が逮捕
- Interlock ランサムウェアを用いた攻撃で「FileFix」を使用
- サポートが終了している SonicWall Secure Mobile Access アプライアンスを悪用する OVERSTEP ルートキット
- Louis Vuitton がサイバー攻撃に遭う
- Dior がサイバー攻撃に
- Microsoft が Sharepoint サーバの脆弱性を用いた攻撃を中国の Linen Typhoon/Violet Typhoon/Storm-2603 と結びつける
- CISA・FBI が InterLock ランサムウェアグループについて StopRansomware で注意喚起
- AI 生成の Linux 用マルウェア Koske
- 「Operation Checkmate」により、BlackSuit ランサムウェアグループの脅迫サイトが差し押さえられる
- Scattered Spider が VMWare ESXi を対象にする
- ミネソタ州、セントポールへのサイバー攻撃を受け州兵を動員
- SafePay ランサムウェアグループが IT 大手 Ingram Micro の 3.5TB のデータを漏洩させると脅迫
- ラズパイが攻撃に使われた模様
- PyPI が Python 開発者に向けたフィッシングメールに関して注意喚起
- Qantas, Allianz Life, LVMH 等からの SalesForce データ窃取の背後に ShinyHunters
- CISA が Thorium をリリース
- Proofpoint と Intermedia のリンクラッピングを悪用してフィッシングペイロードを配信する攻撃
- Mozilla のアドオン開発者を狙った攻撃
- 複数のランサムウェアグループが SharePoint の脆弱性を狙った攻撃を行っている模様
- Plague: PAM ベースの Linux マルウェア
- シャネルが Salesforce のデータ攻撃の対象に
- Cisco が Vishing 攻撃に
- Akira ランサムウェアが CPU チューニングドライバを悪用して Defender を無効化
- “Ghost Calls”。Web 会議を悪用した秘密の C2
- Google、Salesforce へのデータ窃盗攻撃でデータ漏洩被害に
- EDRKillShifter の進化系、8つのランサムウェアグループで使用
- AirFrance/KLM がサイバー攻撃によりデータ漏洩
- ICE DSI が BlackSuit ランサムウェアインフラの撤去を国際協力で主導
- 米国連邦裁判所がサイバー攻撃を受ける
- Google カレンダーの招待状で Gemini を乗っ取りデータを漏洩する脆弱性
- Crypto24 ランサムウェアグループが大規模攻撃
- Workday も Salesforce の被害に
- XenoRAT マルウェアが韓国の複数の大使館を攻撃
- 米国の製薬企業「Inotiv」がランサムウェア攻撃を受ける
- NY ビジネス協議会、4 万 7000 人に影響するデータ漏洩を公表
- 主要パスワードマネージャの一部が Click Jacking 攻撃に脆弱な模様
この記事の著者
OSS/ セキュリティ / 脅威インテリジェンスエバンジェリスト
面 和毅
本記事に関連するリンク
