デンマークのジュエリー大手Pandoraは、進行中のSalesforceを狙ったデータ窃盗攻撃により顧客情報が盗まれたことを受け、情報漏洩を公表しました。
Pandoraは世界最大級のジュエリーブランドで、2,700店舗以上、37,000人を超える従業員を抱えています。
「当社が利用しているサードパーティプラットフォームを通じて、第三者によってお客様の連絡先情報へ不正アクセスがあったことをお知らせいたします」と、Pandoraが顧客に送付した情報漏洩通知には記載されています。
「当社は不正アクセスを遮断し、セキュリティ対策をさらに強化しました。」
Forbesが最初に報じたところによると、今回の攻撃で盗まれたのは顧客の氏名、生年月日、メールアドレスのみで、パスワードやID、財務情報は漏洩していません。
出典: Reddit
Pandoraはサードパーティプラットフォームの名称を公表していませんが、BleepingComputerは同社のSalesforceデータベースから情報が盗まれたことを把握しています。
少なくとも2025年1月以降、もしくはそれ以前から、攻撃者は企業の従業員やヘルプデスクを標的としたソーシャルエンジニアリングやフィッシングキャンペーンを行っています。
これらの攻撃は、Salesforceの認証情報を盗むか、従業員を騙して悪意のあるOAuthアプリケーションをSalesforceアカウントに承認させることを目的としています。
このアクセスを利用して、攻撃者は企業のSalesforceデータベースをダウンロード・窃取し、そのデータが漏洩しないよう身代金を要求して企業を脅迫します。
ShinyHuntersはBleepingComputerに対し、企業を個別に脅迫しており、将来的に身代金を支払わない企業のデータを一斉に販売または流出させると認めています。これはSnowflakeデータ窃盗攻撃でも行われました。
また、攻撃者は攻撃が現在も続いていることも認めており、すべての企業はSalesforceのアカウント強化に関する推奨事項を確認すべきです。
「Salesforce自体が侵害されたわけではなく、今回の問題は当社プラットフォームの既知の脆弱性によるものではありません。Salesforceはすべてのサービスにエンタープライズグレードのセキュリティを組み込んでいますが、顧客も自社のデータを安全に保つ上で重要な役割を担っています。特に高度化するフィッシングやソーシャルエンジニアリング攻撃が増加している中ではなおさらです」とSalesforceはBleepingComputerに語っています。
「すべてのお客様に、マルチファクター認証(MFA)の有効化、最小権限の原則の徹底、接続アプリケーションの慎重な管理など、セキュリティのベストプラクティスを引き続き推奨しています。詳細は以下をご覧ください:https://www.salesforce.com/blog/protect-against-social-engineering/」
今回の攻撃で影響を受けた他の企業には、Adidas、Qantas、Allianz Life、LVMH傘下のLouis Vuitton、Dior、Tiffany & Co.などがあります。
しかし、BleepingComputerは、まだ公表されていない被害企業が他にも多数存在すると伝えられています。
