コンテンツにスキップするには Enter キーを押してください

Workdayの情報漏洩、ShinyHuntersによるSalesforce攻撃と関連か

投稿日 2025年8月19日

ダークヘアで長髪、黒縁メガネをかけた女性がピンストライプのシャツを着て、片手をキーボード、もう一方の手を顎に当ててパソコンの前に座っている

出典:Sakkmersterke / Alamy Stock Photo

サイバー攻撃者が人事(HR)大手WorkdayのサードパーティCRMシステムを侵害した事件が発生し、これは脅威グループShinyHuntersによる一連の攻撃と関連している可能性があると専門家は推測しています。この恐喝グループは、グローバル企業を標的に、Salesforce CRMインスタンスを通じてデータを窃取しています。

Workdayはブログ記事で、攻撃者が自社の人事部門の担当者を装い、従業員または複数の従業員から情報を引き出したキャンペーンによって侵害を受けたことを金曜日に認めました。この攻撃により、脅威アクターは「当社のサードパーティCRMプラットフォームから一部の情報にアクセスできた」と投稿で述べています。

攻撃者は「名前、メールアドレス、電話番号など、一般的に入手可能なビジネス連絡先情報」を取得し、「さらなるソーシャルエンジニアリング詐欺のために利用する可能性がある」と投稿で述べられています。同社は、顧客テナントやその中のデータへのアクセスの兆候はないとしています。

「一部の一般的なビジネス連絡先情報がアクセスされましたが、当社は顧客やパートナーに通知し、同様のキャンペーンから身を守れるようにしました」と、Workdayのコーポレートコミュニケーション担当プリンシパルであるコナー・シュピールメーカー氏は月曜日のメールでDark Readingに語りました。さらに、「すべての兆候から、顧客のWorkdayデータは引き続き安全である」と述べています。

Workdayは、侵害されたシステムへのアクセスを迅速に遮断したと述べ、シュピールメーカー氏は「自社従業員を守るために追加のセキュリティ対策を社内で導入した」と付け加えました。ただし、具体的な対策内容は明かしていません。

カリフォルニア州プレザントンに本拠を置くWorkdayは、「人、資金、エージェントを管理するAIプラットフォーム」として自社をアピールしており、世界中で19,300人以上の従業員を擁しています。HR向けの技術を利用する11,000以上の組織のうち、フォーチュン500の60%以上が同社の顧客です。

シュピールメーカー氏は、同社がどのサードパーティCRMシステムを使用しているかという質問には回答していませんが、WorkdayとSalesforceは戦略的パートナーシップを結んでいます。また、シュピールマン氏は、Workdayが「高度なソーシャルエンジニアリング詐欺の標的となった複数企業の一つであった」とも述べています。

この詐欺は、おそらくGoogleや航空会社エールフランスおよびKLM、シューズメーカーのアディダス、保険会社アリアンツ、ティファニー、そして高級ブランドのディオールやルイ・ヴィトンなど、業界を超えた著名企業が巻き込まれた一連の攻撃の一つと考えられます。これらはすべて、Salesforceインスタンスを通じた攻撃です。

実際、この攻撃の手口は、ShinyHuntersの最新の戦術を示しています。ShinyHuntersは、大企業からデータを盗み、アンダーグラウンドマーケットで現金化することで知られる、自己宣伝型で金銭目的の脅威グループです。

一部では複数の脅威アクターによる集団と考えられているこのグループは、2020年に登場し、漏洩または盗難された認証情報を利用して被害者の環境にアクセスし、データを盗み出していました。しかし最近では、ShinyHuntersは、別の脅威グループであるScattered Spiderの手法を模倣し、フィッシングやビッシング(電話詐欺)を通じて被害者に接触し、人事やテクニカルサポートなど主要部門の一員を装う戦術を使い始めています。攻撃者はこの偽装で従業員を騙し、Salesforce情報へのアクセスを得て、機密・非機密を問わずデータを窃取し、恐喝や他社へのさらなる攻撃に利用します。

「この事件は、サイバーセキュリティ侵害が単独で発生することはまれであり、波及効果があることを改めて示しています。攻撃者は一つのベンダーで止まらず、エコシステム全体で次の弱点を探して横展開します」と、DeepwatchのCISOであるチャド・クレイグル氏は本件について述べています。

企業データへの厳格な保護策

Workdayはブログ記事で、顧客やパートナーに対し、「電話でパスワードやその他の機密情報を求めることは決してない」とし、「信頼できるサポートチャネルのみを通じてユーザーと連絡を取る」と注意喚起し、同様の被害を防ぐよう促しました。

実際、ソーシャルエンジニアリングは、心理や社会的交流を利用して被害者を操る非常に巧妙な手法であり、技術に精通したユーザーでさえ騙される可能性があると、アプリケーションセキュリティソリューションプロバイダーBlack Duckのシニアセキュリティエンジニア、ボリス・シポット氏は指摘しています。

このような攻撃から身を守るためには、組織は機密情報の取り扱いに関する厳格な手順を確立し、たとえ上級役員であっても電話で情報を提供することを従業員に禁じるべきだと同氏は述べています。「従業員はこれらの手順を認識し、上司を装った人物に情報を提供したり協力したりすることを拒否しても処罰されないことを理解する必要があります」とシポット氏は述べています。

また、Workdayが顧客やその他の機密データを漏洩しなかったとしても、関係するデータが含まれていた人は、今後発生しうる二次的な詐欺や攻撃に注意すべきだと同氏は付け加えました。

Deepwatchのクレイグル氏は、ShinyHuntersによるSalesforceインスタンスへの一連の攻撃は、組織が「ベンダーの境界だけを信頼してはいけない」こと、そして「自社環境内での継続的な監視、強力なID管理、迅速な検知」が必要であることを示しているとも述べています。「そうでなければ、自社のビジネスを他人の防御に賭けることになる」と彼は語りました。

翻訳元: https://www.darkreading.com/application-security/workday-breach-shinyhunters-salesforce-attacks

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です