ShinyHunters launches Salesforce data leak site to extort 39 victims
2025/10/03 BleepingComputer — 恐喝グループが新たなデータリーク・サイトを公開した。そこで彼らが公開しているのは、一連の Salesforce 情報漏洩への攻撃で盗み出したデータのサンプルであり、数十社に対して恐喝を行っている。これらの攻撃を実行した脅威アクターは、ShinyHunters/Scattered Spider/Lapsus$ の各グループに関与し、自身を Scattered Lapsus$ Hunters と称している。
彼らが立ち上げた新たなデータリーク・サイトには、攻撃の影響を受けた 39社の情報が掲載されている。それらの情報に含まれるのは、被害者の Salesforce インスタンスから盗み出したとされるデータのサンプルである。そして、データの “公開を防ぐ” ためには、10月10日の期限までに連絡を取る必要があると、被害者に対して警告している。
このデータ漏洩サイトで恐喝の被害に遭っている企業には、FedEx/Disney/Hulu/Home Depot/Marriott/Google/Cisco/Toyota/Gap/McDonald’s/Walgreens/Instacart/Cartier/Adidas/Saks Fifth Avenue/Air France & KLM/Transunion/HBO MAX/UPS/Chanel/IKEA などの有名ブランドが含まれる。
ShinyHunters は、「以前より、これらの企業からは連絡を受けており、サンプルを複数回ダウンロードしているためメールも確認済みだ。ほとんどの企業は、インシデントに関する情報を開示せず、無視することを選択している」と、 BleepingComputer に対して述べている。
さらに ShinyHunters は「正しい判断を下すことを強く推奨する。このデータの漏洩を防ぎ、状況を再びコントロールし、すべての業務をこれまで通り安定させることができるはずだ。この問題を解決するための、相互に有益な機会を提供しているため、意思決定者の関与を強く推奨する」と、漏洩サイトで警告している。
この脅威グループは、影響を受けたすべての顧客データ (個人情報を含む約10億件のレコード) の漏洩と引き換えに、Salesforce に身代金の支払いを要求する、別のエントリーも追加している。そこには、「もし Salesforce が従うなら、あなたの顧客との進行中の個別交渉から私たちは撤退する。あなたが身代金を支払えば、あなたの顧客は再び攻撃を受けることも、再び身代金を要求されることもない」と記されている。
さらに、この恐喝グループは、今回のデータ侵害に関して Salesforce に民事訴訟を起こす法律事務所を支援すると述べ、欧州一般データ保護規則 (GDPR) で義務付けられている顧客データの保護に、同社は失敗したと警告している。
Scattered Lapsus$ Hunters は、今年初めから Salesforce の顧客を標的とする音声フィッシング攻撃を行っており、Google/Cisco/Qantas/Adidas/Allianz Life/Farmers Insurance/Workday に対して、そして Dior/Louis Vuitton/Tiffany & Co などの LVMH の子会社などに対して影響を及ぼしている。
これらの攻撃で脅威アクターが用いた手口は、従業員を騙して悪意の OAuth アプリを、各社の Salesforce インスタンスにリンクさせるものだった。ShinyHunters は、特定の Salesforce インスタンスを標的としたが、そのインスタンスに多くの子会社のデータも含まれていたことで、攻撃の影響は想定以上に大きくなったと、BleepingComputer に述べている。
こうして標的への接続を達成した攻撃者は、それらの企業のデータベースを盗み出し、そのデータを用いて、被害者に脅迫メールを送信した。これらの恐喝メールには、Snowflake/AT&T/PowerSchool への攻撃などで、著名な情報漏洩インシデントに関与した、悪名高い恐喝グループ ShinyHunters の署名が付いていた。
さらに ShinyHunters は、Salesloft と Drift AI チャットの統合用 OAuth トークンを盗み出し、顧客の Salesforce インスタンスからパスワード/AWS アクセスキー/Snowflake トークンなどの機密情報を取得したと主張している。
Mandiant は、これらの攻撃について、UNC6395 という別の脅威クラスターとして追跡していたが、ShinyHunters の情報漏洩と正式に結び付けることはできなかった。
この恐喝グループに関連する Telegram チャンネルが主張するのは、10月10日に開設される別のデータ漏洩サイトで、Salesloft Drift 攻撃の影響を受けた企業に対して恐喝を開始するという内容だ。
以前に ShinyHunters は、Salesloft データ窃盗攻撃は約 760社に影響を与え、Salesforce レコード 15億件を盗み出したと、BleepingComputer に語っている。
Salesloft 攻撃の影響を受けた企業としては、Google/Palo Alto Networks/CyberArk/Cloudflare/Rubrik/Elastic/BeyondTrust/Proofpoint/JFrog/Zscaler/Tenable/Nutanix/Qualys/Cato Networks などの、数多くの企業の名前が挙がっている。
ShinyHunters の主張は、恐喝段階の初期で身代金が支払われるなら、Salesloft 攻撃により、再び恐喝されることはないというものだ。
ShinyHunters がデータ漏洩サイトを開設した後に、Salesforce が声明を公表している。同社は、「脅威アクターによる最近の恐喝行為を認識しており、外部の専門家や当局と連携して調査を行っている。調査結果によると、これらの行為は過去のインシデントあるいは、根拠のないインシデントに関連していることが判明しており、影響を受けたユーザーへのサポート提供を継続していく。現時点では、Salesforce プラットフォームが侵害されたという兆候はなく、この活動は当社における既知の脆弱性とは関連していない」と述べている。
今回のインシデントは、Salesforce の仕組みではなく、OAuth アプリの悪用に起因するものである。攻撃者は従業員をだまして、悪意ある外部アプリにアクセス権を与えさせることで、正規の仕組みを通してデータを盗み出しています。つまり、脆弱性の原因はソフトウェアの欠陥というより、人の操作と権限設計の隙にあります。OAuth は便利な認可方式ですが、許可により広範囲のデータへのアクセスが可能になるため、慎重な確認が欠かせません。よろしければ、Salesloft で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.