人事サービス大手のWorkdayは、最近のソーシャルエンジニアリング攻撃により、攻撃者がサードパーティの顧客関係管理(CRM)プラットフォームにアクセスし、データ侵害が発生したことを公表しました。
カリフォルニア州プレザントンに本社を置くWorkdayは、北米、EMEA、APJの各地に19,300人以上の従業員を擁しています。Workdayの顧客リストには、さまざまな業界の11,000以上の組織が含まれており、フォーチュン500企業の60%以上が利用しています。
同社が金曜日のブログで明らかにしたところによると、攻撃者は侵害されたCRMシステムに保存されていた一部の情報にアクセスしたものの、顧客テナントには影響がなかったとしています。
「Workdayを含む多くの大手企業を標的とした最近のソーシャルエンジニアリングキャンペーンについてお知らせしたいと思います」と同社は述べています。
「最近、Workdayが標的となり、脅威アクターが当社のサードパーティCRMプラットフォームから一部の情報にアクセスできたことを確認しました。顧客テナントやその中のデータへのアクセスがあった形跡はありません。」
しかし、今回のインシデントで一部のビジネス連絡先情報が流出し、今後の攻撃に利用される可能性のある顧客データも含まれていました。
「攻撃者が取得した情報の種類は、主に氏名、メールアドレス、電話番号など、一般的に入手可能なビジネス連絡先情報であり、ソーシャルエンジニアリング詐欺をさらに進めるために使われる可能性があります」と付け加えています。
BleepingComputerが確認した、影響を受けた可能性のある顧客への別の通知によると、この侵害は約2週間前の8月6日に発見されたと同社は述べています。
Workdayはさらに、攻撃者が人事部門やIT部門を装って従業員にテキストや電話で連絡し、アカウントへのアクセス情報や個人情報を聞き出そうとしたと説明しています。
Salesforceのデータ窃盗攻撃
Workdayは直接は認めていませんが、「多くの大手企業を標的とした最近のソーシャルエンジニアリングキャンペーン」とは、一連のセキュリティ侵害であり、ShinyHunters恐喝グループに関連しています。このグループは、ソーシャルエンジニアリングやボイスフィッシング攻撃を通じてSalesforceのCRMインスタンスを標的としています。
このキャンペーンでは、Adidas、カンタス航空、Allianz Life、ルイ・ヴィトン、ディオール、ティファニー、シャネル、そして最近ではGoogleなど、世界中の他の著名企業も被害を受けています。
これらの攻撃は年初から始まったとみられ、脅威アクターは標的企業の従業員をだまして、悪意のあるOAuthアプリを自社のSalesforceインスタンスに連携させるソーシャルエンジニアリング攻撃を仕掛けています。
一度連携されると、攻撃者はその接続を利用して企業のデータベースをダウンロード・窃取し、盗まれたデータは後に被害者へのメール恐喝に利用されます。
恐喝の要求には、ShinyHuntersの名が署名されており、このグループは過去にもSnowflake攻撃やAT&T、PowerSchoolなど、数々の著名な攻撃に関与していることで知られています。
Workdayは、BleepingComputerが本日問い合わせた際、コメントには応じませんでした。
