- ShinyHuntersがSalesforce Auraのデータ盗難を主張
- 攻撃者が誤設定されたゲストユーザー権限を悪用
- およそ100の著名な組織が影響を受けたと報告されている
悪名高いランサムウェア運営者であるShinyHuntersは、進行中のSalesforce Auraデータ盗難攻撃の背後にいると主張し、さらなる攻撃が起こることを警告しています。
2025年9月から始まり、詐欺師たちは数ヶ月間、公開されているSalesforce Experience Cloudインスタンスをスキャンしました。このプラットフォームは、組織がSalesforce CRMデータに直接接続されたウェブポータルを構築することができます。
スキャンのために、彼らはMandiantによって元々開発された誤設定検出ツールであるAuraInspectorの改変版を使用しました。このツールは、公開されたAPIエンドポイントをプローブして、ゲストユーザープロファイルが過度な権限を持つポータルを特定しました。
以下から続きます
研究プレビュー
脆弱なサイトを特定した後、攻撃者たちは別の名前なしのカスタムツールを使用して、ゲストユーザーレコード制限をバイパスし、認証なしでSalesforce CRMデータを抽出しました。名前と電話番号を含む盗まれた情報は、その後のソーシャルエンジニアリングおよびボイスフィッシングキャンペーンに使用されました。
The Registerに語ったハッキング集団のスポークスマンは、このキャンペーンの影響を受けたおよそ100の著名な組織を確認しました:
「ほぼ400のウェブサイトから、そして約100の重要な著名企業Snowflake、Okta、Lastpass、Salesforce自体、Sony、AMDなど、さらに多くの企業からデータを盗んでいます」と本人は言ったと伝えられています。偵察と悪用の行為は「今のところ数ヶ月間続いている」と彼らは付け加えました。
先週末、Salesforceは顧客に、公開されているExperience Cloudサイトを積極的にスキャンしている「既知の脅威アクター集団」について警告しました。何社が被害を受けたか、またはどのくらいのデータが盗まれたかを言うことは望みませんでしたが、詐欺師たちが脆弱性を悪用していないと述べました:
「この問題はSalesforceプラットフォーム固有の脆弱性が原因ではなく、ゲストユーザープロファイルが不注意で過度に広い権限を持つように設定されているExperience Cloudサイトが原因です」と代表者は述べました。
しかし、グループは明らかにCyberInsiderに、実際に製品の欠陥を悪用していたと述べました。「しかし、彼らは悪用段階が終了するまで欠陥に関する詳細を公開しないことを決定している」と出版物は主張しています。
これまでのところ、ShinyHuntersが述べた企業は沈黙を保っており、調査していると述べたLastPassを除いて。
もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、動画形式のアンボックスを見て、WhatsAppでも私たちからの定期的なアップデートを受け取ることができます。
