- ShinyHuntersが世界760社から15億件の記録を盗んだと主張
- 攻撃者はGitHubのシークレットを悪用し、機密性の高いSalesforceオブジェクトテーブルにアクセス
- FBIはハッカーグループが「闇に消える」と発表したことを受けて警告を発出
ShinyHuntersは、Salesloft / Salesforce攻撃で盗んだデータ量をついに明らかにし、世界760社から15億件の記録を入手したと主張しています。
2025年3月、ShinyHunters、Lapsus$、Scattered Spiderの3つのグループの脅威アクターが協力し、Salesloftのソースコードが含まれるGitHubリポジトリに侵入しました。彼らはTruffleHogを使ってコード内のシークレットをスキャンし、Salesloft DriftおよびDrift EmailプラットフォームのOAuthトークンを発見しました。
そこから、彼らは様々な企業が所有するSalesforceのオブジェクトテーブルにアクセスできるようになりました。これらのテーブルは「Account」「Contact」「Case」「Opportunity」「User」とラベル付けされており、攻撃者はあらゆる種類の機密ファイルを持ち出すことに成功しました。
確認待ち
大半(5億7,900万件)はContactテーブルからのものです。2番目に多く侵害されたのはCaseテーブルで4億5,900万件、続いてAccount(2億5,000万件)、Contact(1億7,100万件)、Opportunity(1億7,100万件)、User(6,000万件)となっています。
主張の証拠として、ShinyHuntersはソースコードフォルダのリストを記載したテキストファイルを共有しました。現時点でSalesforceはこれらの主張についてコメントしていません。
私たちはSalesforceに問い合わせており、返答があれば記事を更新します。また、BleepingComputerの情報筋によれば、この数字は正確であるとのことです。
犯罪者たちが手に負えないほどのことをしてしまったかどうかは、まだ分かりません。
この事件を受けて、FBIはUNC6040およびUNC6395(これらのグループの追跡方法)に関するセキュリティアドバイザリを発出し、既知の侵害指標(IOC)を共有しました。
同時に、これらのグループは「闇に消える」と発表し、一部のサイバーセキュリティ企業は、注目が高まっていることを恐れているのだと解釈しています。
もしこれらの主張が事実であれば、この事件は2023年のMOVEitマネージドファイル転送(MFT)騒動と同等の規模となり、世界中の数千の組織と数百万人のユーザーに影響を与えることになります。
