Hackers Claim Massive Salesforce Breach: 1 Billion Records Stolen
2025/10/13 gbhackers — Scattered Lapsus$ Hunters という新たなサイバー犯罪集団が、Salesforce の顧客テナントを標的とする大規模なデータ侵害の犯行声明を出し、世界中の組織にとっての深刻な脅威として浮上している。SP1D3R HUNTERS または SLSH とも呼ばれる、このグループは、2つの恐喝キャンペーンで 10億件以上の Salesforce レコードを窃取したと報じられており、近年で最大級のデータ窃盗を展開している。専門家たちは、この犯罪シンジケートを “Trinity of Chaos” と呼んでいる。それが意味するのは、Muddled Libra (Scattered Spider)/Bling Libra (ShinyHunters)/LAPSUS$ という3つの脅威グループのメンバーにより構成されていることだ。
これらのグループは、”The Com” として知られる広範なサイバー犯罪コミュニティの一部であると考えられており、組織的な恐喝キャンペーンを展開する高度な脅威アクター・ネットワークを示している。
これらの恐喝行為の背後にいる主な組織は、遅くとも 2020年初頭から活動し、近年では数々のデータ侵害事件の犯行声明を出している、脅威グループ “Bling Libra” である。
従来のデータ販売から被害者への直接的な恐喝へと進化した Bling Libra は、サイバー犯罪者の収益化戦略における、大きな変化を示している。
Unit 42 の調査によると、2025年を通して、世界中の小売業およびホスピタリティ業界が、このデータ窃盗恐喝活動の標的となっている。
この脅威アクターは、Salesforce の顧客環境に侵入し、機密性の高い顧客情報や企業データを窃取することに特に注力している。
Extortion-as-a-Service の始まり
2025年10月3日に Scattered Lapsus$ Hunters は、データ・リーク・サイトを正式に立ち上げた。当初は、悪名高いサイバー犯罪フォーラム BreachForums に関連付けられるドメインでホストされていたものだ。
このサイトに掲載されるのは、Salesforce のデータを窃取したとする世界の 39の組織のリストであり、身代金の支払い期限は 2025年10月10日と設定されていた。
この脅威アクターは、Extortion-as-a-Service モデルを採用しており、アフィリエイトである脅威アクターが取得する恐喝金の 25%~30% を収益としている。
このアプローチは、成功を収めている Ransomware as a Service (RaaS) モデルを模倣しているが、ファイル暗号化マルウェアを使用せずに、データの窃取と恐喝に重点を置いている点で大きく異なる。
Bling Libra は、Telegram チャンネルを通じてアフィリエイトを積極的に募集し、被害者に恐喝メールを送る際の支援を行っている。その標的は、経営幹部レベルのコミュニケーションである。
このグループは、Salesforce 自体に対しても恐喝を試みているが、Salesforce は身代金要求の交渉や支払いを公に拒否している。
法執行機関の対応
2025年10月9日に FBI は、BreachForums に関連する全ドメインを押収したと発表した。そこには、この脅威アクターが新たに開設したデータ・リーク・サイトのクリアネット版も含まれている。
しかし、Bling Libra が主張するのは、コアメンバーは誰も逮捕されておらず、サイトのダークネット版は引き続き運用されているという内容だ。
FBI の措置を受けて、同グループは脅迫を強めている。具体的には、2025年10月10日の期限に関するメッセージをエスカレートさせ、データ漏洩の可能性を警告している。
法執行機関の介入にもかかわらず、この脅威アクターは、恐喝活動を継続する上での回復力と適応力を発揮している。
新たな脅威グループの出現により、脅威の状況はさらに複雑化している。これまで知られていなかったグループ Crimson Collective が Scattered Lapsus$ Hunters との連携を開始し、2025年10月1日に Red Hat へ侵入したと主張している。
このグループは、Red Hat の 28,000 を超える社内開発リポジトリから、約570GBの圧縮データを盗み出したと主張し、その中には、機密性の高い顧客エンゲージメント・レポートが含まれるとしている。
影響
Salesforce 環境への攻撃は、顧客関係管理プラットフォーム (CRM) に大きく依存している小売業やホスピタリティ企業にとって、特に大きなリスクとなる。
顧客データが摂取されると、なりすまし/ソーシャル・エンジニアリング/アカウント乗っ取り/詐欺などにつながる可能性がある。
最も深刻なのは、これらの侵害が、ショッピング・シーズンのピークに合わせて引き起こされ、消費者の信頼を損なう可能性が生じる点である。
ホスピタリティ企業も、同様のリスクに直面しているが、詐欺のパターンは異なる。小売業は返品やギフトカードの詐欺に遭遇するのに対し、ホスピタリティ企業は航空マイルやホテル・ポイントを利用した、ロイヤルティ特典の詐欺に遭遇する可能性が高い。
これは、ダークウェブ・フォーラムや Telegram チャンネルにおける旅行代理店の不正広告という、アンダーグラウンドなトレンドの増加につながっている。
EaaS モデルへの移行は、サイバー犯罪の戦術における懸念すべき進化を示している。ファイルを暗号化して業務を妨害する従来のランサムウェアとは異なり、EaaS はデータの窃取と恐喝に特化しているため、従来ランサムウェアによる妨害に注力してきた法執行機関の監視をすり抜けて活動する可能性がある。
ユーザー組織にとって必要なことは、これらの進化する脅威を軽減するために、自動認証情報スキャンツール/ゼロトラスト・アーキテクチャの原則/条件付きアクセス・ポリシーなどの、包括的なセキュリティ対策を実装することだ。
Sharing and Analysis Centers (ISACs) への業界の参加により、リアルタイムの脅威インテリジェンスと、事後/事前対応型の防御策に関するベストプラクティスへのアクセスが提供される。
Scattered Lapsus$ Hunters の事例は、現代のサイバー犯罪活動の高度化と連携の強化を示している。それが浮き彫りにするのは、機密性の高い顧客データを扱うすべてのセクターにおいて、堅牢なセキュリティ・フレームワークとインシデント対応能力が不可欠であることだ。
侵害済み認証情報や巧妙なフィッシングを介して Salesforce テナントに侵入した脅威アクターが、大規模なデータ窃取を展開して、恐喝サイトを立ち上げるに至っています。テナント内での過剰権限設定/テナント分離の不備/API キーや外部連携の管理不足/監査ログや異常検出の不備なども、被害の拡大を許しているのかもしれません。よろしければ、2025/10/03 の「ShinyHunters が立ち上げたデータリーク・サイト:Salesforce に関連する 39社を脅迫」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.