米国の大手保険会社Farmers Insuranceは、110万人の顧客に影響を及ぼすデータ侵害を公表しました。BleepingComputerは、このデータが広範囲にわたるSalesforce攻撃で盗まれたものであることを確認しました。
Farmers Insuranceは、自動車、住宅、生命、ビジネス保険商品を提供する米国拠点の保険会社です。代理店や子会社のネットワークを通じて、全米で1,000万世帯以上にサービスを提供しています。
同社はウェブサイト上のアドバイザリーで、2025年5月29日にサードパーティベンダーのデータベースが侵害されたとデータ侵害を公表しました。
「2025年5月30日、Farmersのサードパーティベンダーの一つが、ベンダーのデータベースの一つに保存されていたFarmersの顧客情報に、許可されていない第三者がアクセスした疑わしい活動をFarmersに通知しました(以下「本件」)」と、同社ウェブサイトのデータ侵害通知に記載されています。
「サードパーティベンダーは監視ツールを導入しており、これにより迅速に活動を検知し、不正な第三者を遮断するなど、適切な封じ込め策を講じることができました。Farmersはこの活動を知った後、直ちに本件の性質と範囲を特定するための包括的な調査を開始し、関係当局に通報しました。」
同社の調査によると、侵害の際に顧客の氏名、住所、生年月日、運転免許証番号、および/または社会保障番号の下4桁が盗まれたことが判明しています。
Farmersは、影響を受けた個人へのデータ侵害通知の送付を8月22日に開始し、メイン州司法長官事務所に共有されたサンプル通知[1, 2]では、合計1,111,386人の顧客が影響を受けたと記載されています。
Farmersはサードパーティベンダーの名前を公表していませんが、BleepingComputerは、今年多くの組織に影響を与えている広範なSalesforceデータ窃取攻撃でデータが盗まれたことを確認しました。
BleepingComputerはこの侵害について追加の質問をFarmersに送付しており、回答があれば記事を更新します。
Salesforceデータ窃取攻撃について
今年初めから、’UNC6040’または’UNC6240’と分類される脅威アクターが、Salesforceの顧客に対するソーシャルエンジニアリング攻撃を実行しています。
これらの攻撃では、脅威アクターが音声フィッシング(ビッシング)を行い、従業員をだまして悪意のあるOAuthアプリを自社のSalesforceインスタンスに連携させます。
連携が完了すると、脅威アクターはその接続を利用してデータベースをダウンロード・窃取し、その後メールを通じて企業を脅迫します。
脅迫要求はShinyHuntersというサイバー犯罪グループから送られ、BleepingComputerに対し、これらの攻撃には複数の脅威グループが重複して関与しており、それぞれがSalesforceインスタンスへの侵入やデータ窃取など特定の役割を担っていると述べています。
「既に何度も言っていますが、ShinyHuntersとScattered Spiderは同一です」とShinyHuntersはBleepingComputerに語っています。
「彼らが初期アクセスを提供し、我々がSalesforce CRMインスタンスのダンプと持ち出しを行います。Snowflakeの時と同じです。」
これらの攻撃で影響を受けた他の企業には、Google、Cisco、Workday、Adidas、Qantas、Allianz Life、そしてLVMH傘下のLouis Vuitton、Dior、Tiffany & Co.などがあります。
