Salesforceは、今年同社の顧客に影響を与えた大規模なデータ窃取攻撃の背後にいる脅威アクターに対し、交渉や身代金の支払いを行わないことを確認しました。
この声明は、「Scattered Lapsus$ Hunters」として知られる脅威アクターがデータリークサイトを立ち上げたことを受けて発表されました。彼らはSalesforceからデータを盗まれた39社を恐喝しようとしています。このウェブサイトは、悪名高いBreachForumsウェブサイトの名を冠したbreachforums[.]hnドメイン上に設置されており、BreachForumsは盗まれたデータの販売やリークで知られるハッキングフォーラムです。
データリークサイトで恐喝されている企業には、FedEx、Disney/Hulu、Home Depot、Marriott、Google、Cisco、Toyota、Gap、Kering、McDonald’s、Walgreens、Instacart、Cartier、Adidas、Sake Fifth Avenue、Air France & KLM、Transunion、HBO MAX、UPS、Chanel、IKEAなど、著名なブランドや組織が含まれています。
脅威アクターは合計で約10億件のデータレコードを盗んだと主張しており、個々の企業またはサイトに掲載された全顧客をカバーするSalesforceからの一括支払いによって、恐喝要求が支払われた場合にのみ、これらのデータが公開されるとしています。
出典: BleepingComputer
このデータは、2025年に発生した2つの別々のキャンペーンでSalesforceインスタンスから盗まれました。
最初のデータ窃取キャンペーンは2024年末に始まり、脅威アクターがITサポートスタッフを装ってソーシャルエンジニアリング攻撃を実施し、従業員を騙して悪意のあるOAuthアプリケーションを自社のSalesforceインスタンスに接続させました。
一度接続されると、脅威アクターはその接続を利用してデータベースをダウンロード・窃取し、その後メールを通じて企業を恐喝しました。
これらのソーシャルエンジニアリング攻撃は、Google、Cisco、Qantas、Adidas、Allianz Life、Farmers Insurance、Workday、Kering、LVMH傘下のDior、Louis Vuitton、Tiffany & Coなどに影響を与えました。
2回目のSalesforceデータ窃取キャンペーンは2025年8月初旬に始まり、脅威アクターは盗まれたSalesLoft Drift OAuthトークンを利用して顧客のCRM環境にアクセスし、データを持ち出しました。
Salesloftのデータ窃取攻撃は主に、サポートチケットデータを盗み、認証情報、APIトークン、認証トークン、その他攻撃者が企業のインフラやクラウドサービスに侵入するために必要な機密情報を探すことに焦点を当てていました。
Salesloft攻撃の背後にいる脅威アクターの一人であるShinyHuntersは、BleepingComputerに対し、このキャンペーンで760社以上から約15億件のデータレコードを盗んだと語っています。
多くの企業がすでにSalesloftサプライチェーン攻撃の影響を受けたことを認めており、Google、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、JFrog、Nutanix、Qualys、Rubrik、Cato Networks、Palo Alto Networks、その他多数が含まれます。
最近立ち上げられたデータリークサイトは、主に元のソーシャルエンジニアリング攻撃で顧客を恐喝するために使用されており、脅威アクターは10月10日以降、Salesloft攻撃の影響を受けた企業への公開恐喝を開始すると述べていました。
しかし、現在このデータリークサイトは閉鎖されており、ShinyHuntersはBleepingComputerに対し、レジストラアカウントがロックされ、ドメインがNiceNicから101domainsに突然切り替えられたため、FBIがドメインを押収したと考えていると語っています。
現在このドメインは、surina.ns.cloudflare.comおよびhans.ns.cloudflare.comというネームサーバーを使用しており、これらは過去にFBIがドメインを押収する際に使用したことがあるものです。
