フランスのファッション大手シャネルは、進行中のSalesforceデータ窃取攻撃の波の中で、最新の被害企業となりました。
シャネルによると、この侵害は7月25日に最初に検知され、脅威アクターが第三者サービスプロバイダーにホストされているシャネルのデータベースへアクセスしたことが原因でした。これはWWDが最初に報じました。
この侵害はアメリカ国内の顧客のみに影響し、個人の連絡先情報が流出しました。
「調査の結果によると、外部の不正アクセス者が取得したデータには、米国のカスタマーケアセンターに連絡した一部の個人の限定的な情報が含まれていました。具体的には、氏名、メールアドレス、郵送先住所、電話番号です」とシャネルの広報担当者はWWDに語りました。
「他の情報はデータベースに含まれていませんでした。影響を受けたお客様には通知済みです。」
シャネルは私たちのメールには回答しておらず、第三者サービスプロバイダーの名前も明かされていませんが、BleepingComputerはこの情報が同社のSalesforceインスタンスから盗まれたことを把握しています。
この攻撃は、ShinyHuntersという恐喝グループによる進行中のSalesforceデータ窃取攻撃の波に起因しています。
Mandiantが最初に報じたように、脅威アクターはSalesforceの顧客を標的にしたvishing(音声フィッシング)攻撃を積極的に行い、認証情報を侵害したり、従業員を騙して組織のSalesforceポータルに悪意のあるOAuthアプリを承認させたりしています。
一度Salesforceインスタンスへのアクセスを得ると、データベースを持ち出し、顧客への恐喝要求の材料として利用します。
SalesforceはBleepingComputerへの声明で、自社プラットフォーム自体は侵害されておらず、顧客アカウントがソーシャルエンジニアリング攻撃によって侵害されていると強調しました。
「Salesforce自体は侵害されておらず、記載されている問題は当社プラットフォームの既知の脆弱性によるものではありません。Salesforceはすべてのサービスにエンタープライズレベルのセキュリティを組み込んでいますが、顧客もまたデータの安全を守る上で重要な役割を担っています。特に高度なフィッシングやソーシャルエンジニアリング攻撃が増加している中ではなおさらです」とSalesforceはBleepingComputerに語りました。
「すべてのお客様に対し、多要素認証(MFA)の有効化、最小権限の原則の徹底、接続アプリケーションの慎重な管理など、セキュリティのベストプラクティスを遵守するよう引き続き推奨しています。詳細については、https://www.salesforce.com/blog/protect-against-social-engineering/ をご覧ください。」
脅威アクターは、現時点でどの企業のデータも公に漏洩しておらず、現在はメールを通じて企業を恐喝しています。
これらのSalesforceデータ窃取攻撃で影響を受けた他の企業には、アディダス、カンタス航空、アリアンツ生命、およびLVMH傘下ブランドのルイ・ヴィトン、ディオール、ティファニーなどがあります。
BleepingComputerは、他にも攻撃を受けたとされる企業を把握していますが、現時点では独自に確認できていません。
