ShinyHuntersが再び攻撃：Workdayの侵害はSalesforceを標的としたソーシャルエンジニアリングの波に関連

エンタープライズソフトウェア大手WorkdayのCRMプラットフォームに対するサイバー攻撃は、Salesforceを標的としたより広範なソーシャルエンジニアリングキャンペーンの一部である可能性が高いと専門家は述べています。

同社は金曜日の公開声明で影響を受けたプラットフォームを明らかにしませんでしたが、研究者たちはこれをShinyHunters脅威グループに関連するSalesforceを標的としたソーシャルエンジニアリングキャンペーンと結び付けています。

「これはサイバーセキュリティにおいて、侵害が単独で発生することはまれであり、その影響が波及することを改めて思い出させるものです」とDeepwatchのCISO、Chad Cragle氏は述べています。「攻撃者は1つのベンダーで止まることはなく、エコシステム全体で次の弱点を探して動きます。ドミノ倒しのようなもので、1つ倒れると他も連鎖します。」

この発表は、Googleが自社もSalesforce環境を通じて侵害されたことを認めた数日後に行われました。この継続中のキャンペーンは、Pandora、Adidas、Qantas、Chanel、Tiffany & Co.、Cisco、その他のグローバルブランドも標的としています。

Workdayは、財務、人事（HR）、ワークフォース管理向けのクラウドアプリケーションを提供する大手企業であり、世界中で19,000人を超える従業員と、フォーチュン500企業の半数以上を含む11,000社以上の顧客を抱えています。

侵害の範囲は限定的だが、より広範な警告も

Workdayの侵害は8月6日に最初に特定され、Workdayは「一般的に入手可能なビジネス連絡先情報」—氏名、メールアドレス、電話番号など—のみが流出したことを確認しました。

「顧客テナントやその内部データへのアクセスの兆候はありません」とWorkdayは声明で述べています。「当社は迅速にアクセスを遮断し、今後同様の事案を防ぐために追加の安全対策を講じました。」

同社はCRMソフトウェアや攻撃者の名前は明かさなかったものの、攻撃者がおなじみのビッシングや電話によるなりすましを使い、社内スタッフを装って従業員を騙しアクセス権を得たことを明らかにしました。

「WorkdayのCRMインシデントは、Salesforce関連キャンペーンで見られたのと同じ手口を示しています」とSlashNextのフィールドCTO、J Stephen Kowski氏は指摘します。「ソーシャルプロファイルが乗っ取られたり偽装されたりし、ユーザーは本物のようなログイン画面に誘導され、盗まれたトークンやOAuth認可によって迅速に深いアクセスが得られます。」

Workdayは、電話で機密情報を求めることは決してないと強調し、再発防止のために研修や検知システムを強化したと述べています。

Workdayの侵害は、複数業界にわたるSalesforceインスタンスを悪用した攻撃の大きな流れの一部です。報告によれば、このキャンペーンは悪名高いBreachForumsの管理者ShinyHuntersによるもので、GoogleはこのグループをUNC6040として追跡していました。

被害者には、6月に攻撃者がSalesforce環境へアクセスしたと発表したGoogle自身、顧客連絡先データの盗難を認めたPandora、そしてAdidas、Quantas、Allianz Life、Louis Vuitton、Dior、Tiffany & Co.、Chanel、Cisco、Air France-KLMなど世界的な企業が含まれます。

ShinyHuntersは2020年から活動する多産なデータ窃盗グループであり、MicrosoftのGitHubリポジトリ、AT&Tの顧客データベース、PowerSchoolなどの侵害に関与し、サイバー犯罪界で最も破壊的な存在の一つとして知られています。特筆すべきは、フランス警察が6月にShinyHuntersのオペレーターとされる人物を逮捕し、IntelBroker（別名Kai West）を含む他の4人のBreachForums管理者も逮捕されたことです。IntelBrokerは2022年以降の一連の重大なハッキングで米国で起訴されています。