出典:Alex Segre(Alamyストックフォト経由)
ニュース速報
100年以上の歴史を持つフランスの高級ファッションブランド、シャネルは、顧客への書簡の中で情報漏洩の被害に遭ったことを発表しました。
同社によると、この情報漏洩は7月25日に最初に検知され、脅威アクターが第三者サービスプロバイダーからアクセスしたことが判明しました。
「調査結果によると、外部の不正アクセス者が取得したデータには、米国のカスタマーケアセンターに連絡した一部の方の限定的な情報、具体的には氏名、メールアドレス、郵送先住所、電話番号が含まれていました」と広報担当者は発表しました。
広報担当者は、アクセスされたデータベースには他の情報は含まれておらず、影響を受けた顧客にはすでに通知済みであると付け加えました。
Bleeping Computerは、最初に報道し、第三者プロバイダーがSalesforceであったことを明らかにしました。シャネルは、第三者によるSalesforceの情報漏洩の波に影響を受けた最初の企業ではありません。ハッカーは、ボイスフィッシング(vishing)戦術を使ってSalesforceの顧客を騙し、認証情報を盗んだり、従業員に悪意のあるOAuthアプリを自社のSalesforceポータルで承認させたりしています。
「Salesforce自体は侵害されておらず、説明されている問題は当社プラットフォームの既知の脆弱性によるものではありません」と同社はBleepingComputerに語りました。「Salesforceはすべてにエンタープライズグレードのセキュリティを組み込んでいますが、顧客もまた、特に高度なフィッシングやソーシャルエンジニアリング攻撃が増加する中で、自身のデータを安全に保つ上で重要な役割を果たします。」
現時点では、この一連の情報漏洩の影響を受けたとされる企業から公に情報が流出した事例はありませんが、脅威アクターからメールによる恐喝を受けています。これにはアディダス、ルイ・ヴィトン、ディオール、ティファニーなどが含まれます。
「Salesforce関連の攻撃は2025年3月に始まり、Salesforceが顧客に対して自社プラットフォームを標的としたボイスフィッシング戦術の『最近の増加』について最初に警告しました」と、Outpost24の戦略調査チームリーダーであるリディア・ロペス氏はDark Readingに送ったメール声明で述べています。「しかし、2025年6月にGoogleの脅威インテリジェンスグループが、ハッカーが米国および欧州の約20社のSalesforceデータを組織的に標的にしていたことを発表したことで、攻撃は大幅に激化しました。」
「数週間、あるいは数か月後、被害者はShinyHuntersと名乗る脅威アクターから、特定のビットコインウォレットアドレスへの支払いを72時間以内に行うよう求める恐喝電話やメールを受け取ります」とロペス氏は付け加えました。「この種のデータ恐喝型の身代金要求の後には、流出したデータベース情報がアンダーグラウンドフォーラムで公開されることがよくあります。」
Salesforceは、これらの脅威を軽減するために、多要素認証(MFA)の利用や接続アプリケーションの管理など、セキュリティのベストプラクティスを顧客に推奨しています。