「私たちも侵害されました」とGoogleが発表、Salesforce攻撃を明らかにしてから数か月後

Googleは、自社の脅威インテリジェンスグループ（GTIG）が6月に明らかにしたSalesforceデータ窃取攻撃の影響を受けたことを認めました。

Salesforceの顧客を標的とした進行中のボイスフィッシング（ビッシング）キャンペーンについて6月に公開した情報の8月5日付更新で、Googleは自社の一部顧客に関連する情報が侵害されたことを明らかにしました。

「6月、Googleの企業用Salesforceインスタンスの一つが、本記事で説明しているUNC6040による類似の活動の影響を受けました」と、Googleは6月の公開情報の更新で述べました。そこでは「ボイスフィッシングによるデータ恐喝」攻撃の詳細が明かされています。「このインスタンスは、中小企業の連絡先情報や関連メモを保存するために使用されていました」と投稿には記されています。

このキャンペーンはGoogleがUNC6040と追跡している脅威グループによるもので、Salesforceへの侵害後、クラウドサービス間を横断し、Okta、Microsoft 365、Workplaceなどのツールを標的にして侵害の範囲を拡大します。

Sentraのサイバーセキュリティエバンジェリスト、デビッド・スチュアート氏によると、Googleがホストするデータの窃取は理にかなっているとのことです。「この侵害は、QantasからPandora、そして今回のGoogleに至るまで、Salesforce環境を標的とした一連の攻撃の最新例です」と彼は述べました。「攻撃者がデータが最も集中し、かつ見えにくい場所、つまりクラウドSaaSアプリケーションに焦点を当てていることは明らかです。」

盗まれたデータは公開情報：Google

更新によると、盗まれたデータの性質から、侵害の影響は最小限にとどまる見込みです。「脅威アクターによって取得されたデータは、企業名や連絡先情報など、基本的かつ主に公開されているビジネス情報に限定されていました」と更新には記されています。

Googleのセキュリティチームは、窃取の途中で被害を封じ込めることができました。「分析の結果、脅威アクターがデータを取得したのは、アクセスが遮断されるまでのごく短い時間だったことが判明しました」とGoogleは述べています。6月の公開情報でも、Googleは自社が被害者であることを明かさずに、同様の説明をしていました。「ある事例では、脅威アクターがSalesforceからデータを少量ずつ持ち出しましたが、検知とアクセス剥奪までに全体の約10％しか取得できませんでした」と記されていました。

Googleは、自社データの窃取を認識していたかどうかについてはコメントしませんでした。

この侵害の長期的な影響はより深刻になる可能性があると、Immersiveのリードサイバーセキュリティエンジニア、ベン・マッカーシー氏は警告します。「こうした攻撃でアクセスされる個人情報、たとえば氏名や生年月日などは変更できない情報であることが大きな問題です」と彼は述べました。「これらの情報やメールアドレスは、サイバー犯罪者によるフィッシング攻撃に悪用されます。」

この懸念は、脅威アクター自身が（部分的に）侵害を認め、Googleを脅迫するのではなく単にデータを流出させることを検討していると主張していることで、さらに高まっています。

攻撃者もGoogle侵害を主張か

GTIGは、UNC6040の侵入に関連する恐喝活動についても明らかにしており、これは初期のデータ窃取から数か月後に、別の脅威グループUNC6240によって実行されることがあり、彼らは悪名高いBreachForumsの管理者「ShinyHunters」を名乗っていました。

この事実は、6月中旬にフランス警察がShinyHuntersおよび他の4人のBreachForums管理者（IntelBrokerを含む）を逮捕したとされる報道を受け、特に興味深いものとなっています。

もしShinyHuntersが本当にこれらの攻撃の背後にいる場合、懸念はさらに高まるでしょう。悪名高いBreachForumsハッキングサイトの元管理者は、長らくサイバー脅威の世界で存在感を示してきました。同グループの最も注目された犯行には、PowerSchool、Oracle Cloud、Snowflakeのデータ窃取攻撃、AT&T、MicrosoftのプライベートGitHubリポジトリなどが含まれます。