シャネルとパンドラは、顧客データの侵害を公表した最新のファッション大手となりました。これらは、彼らのSalesforceアカウントへの攻撃によるものとみられています。
デンマークのジュエリー小売業者パンドラは、今週、顧客にこのインシデントについて通知し始めたと、Redditに投稿されたスクリーンショットで明らかになりました。
「私たちが利用しているサードパーティプラットフォームを通じて、第三者によってお客様の連絡先情報がアクセスされたことをお知らせいたします」と通知には記載されています。
「私たちはアクセスを停止し、セキュリティ対策をさらに強化しました。」
このメッセージによると、影響を受けたのは氏名、生年月日、メールアドレスのみで、金融データやパスワードは盗まれていませんでした。
しかし、これは依然として顧客にとって重大なセキュリティリスクとなり得ると、Check Point Softwareの英国・アイルランド地域ディレクター、マーク・ウィア氏は指摘します。
「この侵害で氏名、メールアドレス、生年月日だけが対象だったとしても、フィッシング、クレデンシャルスタッフィング、合成ID詐欺には十分です。サイバーの観点では、これはより深刻な攻撃のための強力な出発点です」と彼は警告しました。
「攻撃はサードパーティプラットフォーム経由で行われました。これは小売業界のエコシステムにおける一般的な弱点です。これらの統合は可視性が低いことが多く、侵害が発生しても、すべての影響を受けた顧客に通知される保証はありません。」
一方、シャネルは7月25日に発見したインシデントについて、米国の顧客に通知したと、X(旧Twitter)に投稿されたスクリーンショットで明らかになりました。
「シャネルは、米国のサードパーティサービスプロバイダーがホストするChanel, Inc.のデータベースに関するセキュリティインシデントを認識しました。ここで、外部の第三者が当社が保有する一部の顧客データにアクセスし、取得しました」と公表しています。
「当社のシステムにマルウェアは展開されておらず、業務への影響もありません。」
今回の侵害では、氏名、メールアドレス、自宅住所、電話番号が対象となりました。
主な容疑者はShinyHunters
企業側はさらなる詳細をまだ明らかにしていませんが、これらの攻撃がShinyHunters(UNC6040)グループによる継続的なデータ恐喝キャンペーンの一部である可能性が高まっています。
これは、6月にGoogle Threat Intelligenceが最初に警告したもので、攻撃者はボイスフィッシング(vishing)技術を使い、従業員にIT部門からの電話だと信じ込ませる手口を明らかにしました。
攻撃者は被害者を説得してSalesforceの認証情報やMFAトークンを渡させたり、SalesforceのData Loaderアプリの悪意あるバージョンを追加させたりして、顧客データベースへのアクセスを得ます。
ShinyHuntersについてさらに読む:ハッカーが不適切に公開されたAWS認証情報を利用して公開Webサイトの設定ミスを悪用
昨日のアップデートで、Googleはこのグループが現在、Data Loaderアプリと同様の機能を持つPythonスクリプトや、位置情報を隠すためのTOR IPを使用するようになったと述べました。
また、Scattered Spider/The Comと関連付けられているこのグループが、「データ漏洩サイトを立ち上げることで恐喝戦術をエスカレートさせる準備をしている可能性がある」とも付け加えました。
また、Google自身のSalesforceインスタンスの1つもUNC6040によって「短期間侵害された」と明らかにしました。
持ち出されたデータは「基本的かつ主に公開されているビジネス情報(会社名や連絡先など)に限定されていた」と主張しています。
ShinyHuntersによって同様の手口で被害を受けたと疑われる他の企業には、アリアンツ生命、アディダス、カンタス航空、および複数のLVMHブランドが含まれます。
「今や、Salesforce/CRMを利用しているすべての企業が潜在的な標的であることは明白です。脅威アクターは非常に巧妙な電話やメールの誘導を使い、技術的な脆弱性に頼らず、従業員が主な攻撃経路となっています」とColorTokensのチーフエバンジェリスト、アグニディプタ・サルカール氏は述べています。
「私の意見では、外部委託されたヘルプデスクやサポートスタッフへの認識を高めることに加え、サイバーセキュリティリーダーは、ラテラルムーブメントを減らす技術への投資、Salesforceアプリのインストールや承認ができる従業員を厳しく制限すること、厳格なRBAC(ロールベースアクセス制御)やクラウドインスタンスのマイクロセグメンテーション、デジタル証明書ベースのパスワードレス認証の強制、重要なデジタル資産の異常・悪意ある挙動の継続的監視を直ちに行うべきです。」
画像クレジット: Creative Lab / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/chanel-pandora-breach-salesforce/