主要SaaSハッキングを主張するグループへの取り締まりの中、ドメインが3度目の押収。
数日前、BreachForumsの恐喝サイトにて、ディズニー、トヨタ、アディダス、マクドナルド、IKEA、ホームデポなど、世界最大級の39社のSalesforceシステムから盗まれたとされる10億件の記録を漏洩すると脅迫するメッセージが掲載されました。
この脅迫は、ShinyHunters、Scattered Spider、LAPSUS$ランサムウェアグループによるスーパーアライアンス「Scattered Lapsus$ Hunters」が、Salesforceが10月10日午後11時59分(米東部標準時)までに身代金を支払わなければ、ダークウェブとクリアネットの両サイトで実行すると誓ったものでした。
「Salesforceが我々と連絡を取り、解決に応じなければ、下記に記載されたすべての顧客を完全に標的とする。従わなければ甚大な結果を招く」と、元のリークサイトのメッセージには記載されていました。
「下記にリストされている方々は、あらゆる手段で自分自身を守り、我々に連絡して解決を図ることを強く勧める。あなた方のSaaSプロバイダーが全員を守ってくれると誤解しないように、彼らは守らない」とも述べられていました。
しかし、10月9日、BreachForumsのダークネットおよびクリアネットのサイトには全く異なるメッセージが表示されました。「このドメインは押収されました」と、米国司法省(DoJ)、FBI、フランスのBL2Cサイバー犯罪ユニット、パリ検察庁が共同で実施したドメイン押収画像が表示されたのです。
通常、この規模の警察行動についてはFBI自身が詳細を公表しますが、現在米国政府のシャットダウンによりFBIのウェブサイトは更新されていません。
明らかなのは、この摘発がBreachForumsのサイトだけでなく、バックエンドインフラ、データベースアーカイブ、2023年に遡るエスクロー決済データにも影響を及ぼす大規模なものであるということです。
「本日、BreachForumsはFBIおよび国際パートナーによって押収されました。すべてのドメインが米国政府に奪われました。フォーラムの時代は終わりました」と、Scattered Lapsus$ HuntersグループはPGP暗号化声明をTelegramで発表しました。
しかし悪いニュースとして、10月9日時点でSalesforceへの大規模な身代金要求キャンペーンは依然として続いています。主要なBreachForumsのサイトは押収されたものの、別のダークウェブデータリークサイトは稼働中であり、グループは当初の計画通りSalesforceのデータ記録を公開すると引き続き脅迫していることをCSO Onlineが確認しています。
転落と復活
BreachForumsが警察の摘発を受けたのはこれが初めてではありません。
最初のドメイン押収は2023年6月、BreachForumsの創設者とされるコナー・フィッツパトリックがニューヨークで逮捕されてから3か月後に発生しました。その後、ShinyHuntersによってサイトは復活しましたが、2024年5月に2度目の押収を受けました。2025年にはさらに逮捕者が出ました。8月には、Salesforceの顧客がShinyHuntersに標的にされたとの報告が出始め、今回の摘発に至りました。
すべては、グループが本当に主張通りのデータを持っているかどうかにかかっています。これを確認する方法はありません――ランサムウェアグループは宣伝目的で犯罪を誇張する傾向がありますが、否定する方法もありません。
「現時点で、Salesforceプラットフォームが侵害されたという兆候はなく、この活動が当社技術の既知の脆弱性に関連しているわけでもありません」とSalesforceの広報担当者は今月初めにロイターに語りました。
この摘発の意義は象徴的な価値を超えて評価するのは難しいですが、今後数週間でより明らかになるだろうと専門家は示唆しています。
「ドメイン押収はしばしばサーバーログ、ユーザーデータ、暗号通貨の痕跡を提供し、起訴や資産凍結に役立つことがあります。今回の押収も将来のランサムウェア作戦の供給網を混乱させる可能性があります」と、セキュリティベンダーSafetica TechnologiesのCTO、ズビネク・ソプフ氏は述べています。
それでも、1回の摘発でランサムウェア攻撃の広範な脅威が減少することは考えにくいといえます。「CSOは今回の押収を、ダークウェブ監視ツールの強化、Salesforce設定の監査、インシデント対応手順の訓練を行うための30日間の猶予期間と捉えるべきです」と彼は述べました。
SaaSを標的に
リック・ファーガソン氏(Forescout社セキュリティインテリジェンス担当副社長)も、今回の混乱は一時的な後退に過ぎない可能性が高いと同意しています。
「インフラを焼き払い、情報を得て、犯罪者間に不信感を植え付ける。しかしギャングのダークウェブリークサイトは依然として稼働しており、彼らは明確にキャンペーン継続を宣言している」と彼はCSO Onlineにメールで語りました。
「これは現在のモデルを如実に表しています。フォーラム不要で、Telegramや使い捨てドメイン、特注のリークサイトを横断する可搬型恐喝。看板を下ろしてもビジネスは終わりません。」
ファーガソン氏によれば、「SaaSは新たな爆心地」であり、これら相互接続サービスが依存するOAuthやアプリ間の信頼を悪用されることが多いといいます。これはランサムウェア攻撃者が今後も標的にし続ける攻撃面です。
企業はどう自衛すべきでしょうか?「OAuthアプリ管理、最小権限スコープ、トークン有効期限制限、異常検知時の自動失効、既存の信頼の解除、鍵やトークンのローテーション、セッション有効期間の短縮、高リスク操作時の多要素認証を有効にしてください」とファーガソン氏は助言しています。
