Scattered Lapsus$ HuntersはSalesforceに対する顧客訴訟の支援も誓う
ここ数ヶ月で数十の国際企業のSalesforceインスタンスからデータを盗んだと主張するScattered Lapsus$ Huntersギャングは、本日、新たなデータ漏洩サイトに被害企業の名前を掲載し、恐喝行為をエスカレートさせました。
被害者とされる企業のリストには、ギャングが約10億件の記録を取得したと主張するSalesforce自身も含まれています。他にはトヨタ自動車、FedEx、Disney/Hulu、UPS、Home Depot、ホテルチェーンのMarriott、自動車メーカーStellantis、米小売業者Walgreens、マクドナルド、Cisco Systems、Google Adsenseなどが含まれています。
名指しされたすべての被害者は、10月10日までに支払いを行わなければ、コピーされたデータが公開されると通告されています。
Salesforceの場合、ギャングはさらに踏み込んだ脅しをしています。「顧客関係管理プラットフォームに対するデータ窃盗の疑いで、民事・商事訴訟を起こしている法律事務所と“協力”する」とし、データ漏洩サイトが公開される数ヶ月前からSalesforceとその顧客に対し警告していたと主張しています。
「例えば」とギャングのSalesforceへの通知には書かれています。「2025年7月にあなた方にメールで挑発しましたが、私たちを止めるための予防措置は一切講じませんでした。これは特に私たちの主張を裏付けるものであり、もしこれを公表し証拠を示せば大変なことになるでしょう。」
さらにギャングは、保有する文書を「カリフォルニア北部地区連邦地方裁判所」(おそらくUnited States District Court for the Northern District of Californiaのこと)に提出し、Salesforceを訴追する可能性があると述べています。その一環として、「報道関係者、民事・商事訴訟の弁護士とオープンな対話を行い、質問にも答える」と約束しています。
「ご存知の通り、これらすべては回避可能です」とギャングのSalesforceへのメッセージには書かれています。「非常に簡単かつ迅速に。繰り返しますが、私たちはあなた方のシステムに完全にアクセスできます。もし身代金要求に応じなければ、あなた方のデータはすべて公開されます。もし応じれば、顧客ごとの交渉から個別に手を引きます。支払えば、あなた方の顧客が再び攻撃されたり、再度身代金を要求されることはありません。交渉に応じていただければ、さらに詳しく説明できます。」
このグループは何者か?
背景として、Emsisoftの脅威リサーチャーLuke Connollyによると、この恐喝グループはShinyHunters、Scattered Spider、Lapsus$、The Comなど、比較的組織化されていない複数のサイバー犯罪グループによる緩やかな連合体であり、時には1つの名前で活動することもあるとのことです。
Salesforce被害者のデータ漏洩サイトの公開は予想されていました。先月、Connolly氏はこのグループが新しいTelegramチャンネルを立ち上げ、事前告知していたと述べています。
Salesforceの声明
昨日(データ漏洩サイト公開の前日)オンラインで発表されたSalesforceの声明では、「最近の脅威アクターによる恐喝の試みを認識しており、外部の専門家や当局と連携して調査を行いました。その結果、これらの試みは過去または根拠のないインシデントに関連していると判断しており、影響を受けた顧客へのサポートを継続しています。現時点でSalesforceプラットフォームが侵害された形跡はなく、また当社技術の既知の脆弱性に関連する活動でもありません。」と述べています。
ビッシング攻撃
Salesforceの広報担当者は、Google Threat Intelligence Group(GTIG)が6月に発表した、UNC6040と呼ばれるグループによるSalesforceインスタンスへの攻撃に関する警告に言及しました。このグループは一貫してShinyHuntersを名乗っており、音声フィッシング(ビッシング)によるITスタッフのなりすましで従業員を騙し、Salesforceデータベースへのアクセスを得ることを専門としています。GTIGのレポートによると、被害者に悪意あるアプリの組織Salesforceポータルへの接続を許可させることで侵入します。このアプリは多くの場合、Salesforce公式のData Loaderを改変したもので、Salesforceが認可したものではありません。
ビッシング通話中、ハッカーは被害者をSalesforceの接続アプリ設定ページに誘導し、正規版とは異なる名前やブランドの悪意あるData Loaderアプリを承認させます。これにより、ハッカーは侵害されたSalesforce顧客環境から機密情報へ直接アクセス、検索、持ち出しが可能となります。
GTIGのレポートによると、場合によってはUNC6040の最初の侵入活動から数ヶ月後に恐喝活動が観測されることもあり、UNC6040が盗んだデータへのアクセスを収益化するために別の脅威アクターと提携している可能性を示唆しています。
またGoogleは、同社が中小企業の連絡先情報や関連メモを保存するために使用していたSalesforceインスタンスの1つが、このギャングによる同様の手口で侵害されたと報告しています。脅威アクターは「短期間のうちに」データを取得したとし、「取得されたデータは主に企業名や連絡先など、基本的かつ主に公開されているビジネス情報に限定されていた」と述べています。
Salesloft Drift攻撃との関連
9月、FBIはUNC6040およびUNC6395によるSalesforceインスタンス侵害に関するFlashアラートを発表しました。両グループは最近、さまざまな初期アクセス手法を用いて組織のSalesforceプラットフォームを標的にしています。しかしFBIのアラートによれば、UNC6395はビッシングとは異なる手法を使用しており、Salesloft Drift(Salesloftの営業支援プラットフォームだけでなくSalesforceとも連携するAIチャットボット)の不正なOAuthトークンを利用しています。これによりUNC6395はSalesforce顧客のデータにアクセスできたのです。
8月20日、SalesloftはSalesforceと協力し、すべてのDriftのアクティブおよびリフレッシュトークンを無効化しました。
9月の分析で、イスラエルのKela社の研究者はSalesloft Driftキャンペーンを「これまでで最も重大なSaaSサプライチェーン侵害の1つ」と評しました。Driftから盗まれたOAuthおよびリフレッシュトークンは、DriftとSalesforce間のデータ同期用に設計されていました。
Kelaによれば、これらのトークンは多要素認証を含む主要な認証方法を回避できます。このキャンペーンでは攻撃者が10日間にわたり持続的なアクセスを維持し、新たなセッショントークンを生成していました。そこからUNC6395はSalesforce環境に侵入。Kelaのレポートによると、Salesforce Object Query Language(SOQL)を使い、AWSアクセスキー、Snowflakeトークン、パスワードなど、サポートケースや顧客記録に埋め込まれがちな高価値の秘密情報を検索していました。盗まれたデータはTORやクラウドVPS(AWSやDigitalOceanを含む)を経由して持ち出され、痕跡を隠蔽。攻撃者はクエリーのジョブを削除してログの消去も試みていました。
「この手法は新たな傾向を示しています」とKelaは述べています。「攻撃者はCRM全体のデータセットを盗むのではなく、SaaSプラットフォームに隠された“王冠の宝石”=より広範なクラウドや企業システムへの扉を開く認証情報を狙っています。」
Kelaによれば、このキャンペーンの被害企業にはAkamai、Cloudflare、Palo Alto Networks、CyberArk、BeyondTrust、Bugcrowd、Proofpoint、Zscaler、Tanium、Workivaが含まれていました。盗まれたデータは被害者によって異なりますが、連絡先情報、サポートチケットデータ、侵害されたAPIトークンなどが含まれていました。
Salesloftは9月、GoogleのMandiantインシデント対応チームによる調査で、このキャンペーンは3月から6月の間にUNC6395がSalesloftのGitHubアカウントにアクセスしたことから始まったと発表しました。これにより複数のリポジトリからコンテンツがダウンロードされ、さらに脅威アクターはゲストユーザーをアカウントに追加していました。
より広範な問題を浮き彫りに
Brian Soby氏(AppOmni共同創業者兼CTO)は、ハッカーがSalesforceに対する法的措置支援を脅迫の一部として持ち出したことについて「異例だ」と述べました。「私たちの知る限り、攻撃者が侵害されたプラットフォームやそのネイティブセキュリティツールのベンダーに対する既存訴訟に参加、またはそれを利用すると脅したのは初めてです。攻撃者が被害製品の顧客に圧力をかけることはよくありますが、訴訟を使ってベンダーへの圧力を強めるのは新しいエスカレーションです。」
ただし彼は「同時に、ShinyHuntersはフィッシングと盗まれた顧客ユーザー認証情報を通じてSalesforceインスタンスを侵害したことに注意すべきです。共有責任モデルの下では、このような活動の防止と検知は顧客の責任範囲です。したがって、これらの訴訟を支える法理論には疑問が残ります。」とも述べています。
彼はさらに、これらのインシデントはより広範な問題を浮き彫りにしているとし、「多くのSaaS顧客は、共有責任を効果的に果たすために必要なツールや運用をまだ導入していません。ここで新しいのは、顧客だけでなくベンダーやその純正セキュリティツールに対する過失を主張しようとしている点です。」と指摘しました。
「Salesloftでは運が良かった」
Johannes Ullrich氏(SANS Institute研究部門長)はCSOに対し、「Scattered Lapsus$ Huntersは、Scattered SpiderやLapsus$など他の複数グループのメンバーによる集合体・コレクティブのようなものです。彼らの手法はソーシャルエンジニアリングが中心ですが、Salesloftでは運良くSalesloftのシステムへのアクセスを活用し、さまざまな企業のSalesforceデータにアクセスできました」と述べました。
Salesloftの営業チャットボットは効果的に機能するため、顧客が作成した認証情報を使ってSalesforceなど他のシステムと連携する必要があります。「攻撃者はSalesloftからその認証情報を盗み、それを使って被害企業のSalesforceインスタンスにアクセスしました。Salesloftエージェントを稼働させている企業はすべてリスクにさらされています」と述べています。
さらに大きな視点として、これはソフトウェアサプライチェーン攻撃だったと指摘。「現代の分散型ソフトウェアは、従来のソフトウェアがライブラリを使っていたようにWebサービスAPIを利用しますが、APIの方が保護が難しい」とUllrich氏は述べました。
「これらAPIの利用者は通常、十分なテストができないため、それらを運用する企業に大きな信頼を寄せています」と彼は説明します。「最善策は、APIのリスクと得られる利益を慎重に比較し、露出を最小限に抑えることです。これらリモートシステムへのアクセスは、解決しようとしている課題に合わせて慎重に調整すべきです。しかし例えばSalesloftの場合、チャットボットツールの有用性のためには広範なアクセスが必要であり、攻撃者はそれを利用しました。」
