シスコがサードパーティCRMからのデータ漏洩を公表、Cisco[.]comのユーザーアカウントに影響

2025年8月6日：サイバーセキュリティ関連ニュース

シスコがサードパーティCRMからのデータ漏洩を公表、Cisco[.]comのユーザーアカウントに影響

BleepingComputer – August 5, 2025

シスコ（Cisco）は8月1日、同社サイト「Cisco.com」へ登録したユーザーの基本的なプロフィール情報が盗まれたことを公表。このデータ窃取は、同社従業員をボイスフィッシング（ビッシング）攻撃で騙すことにより実施されたという。

シスコの声明によると、同社がインシデントを認識したのは7月24日。攻撃者はビッシングの手口により1人の従業員を騙すことで、シスコ社が使用するCRM（顧客管理）システムへのアクセスに成功すると、Cisco.comのユーザーアカウントを保有する個人の名前、所属組織名、住所、シスコが割り当てたユーザーID、メールアドレス、電話番号、アカウントメタデータ（アカウント作成日など）を当該CRMシステムから盗み出したという。なお、このシステムはサードパーティベンダーが提供するクラウドベースのサービスだとされる。

ただ、「組織顧客」の機密情報や専有情報は盗まれておらず、パスワードやその他の機微性の高い情報も無事だったという。シスコはまた、同社自身のサービスや製品は影響を受けていない旨も伝えている。

シスコ自身が認めたわけではないものの、今回の攻撃は、恐喝グループShinyHuntersの関与が疑われる一連のデータ窃取攻撃キャンペーンの1つである可能性が高いとBleepingComputerは指摘している。このキャンペーンは、ターゲット組織の従業員をビッシングとソーシャルエンジニアリングの手口で欺き、当該組織が使用するSalesforceのインスタンスへのアクセスを獲得してそこからデータを盗み出すというもの。窃取されたデータは、その後組織を恐喝する際に利用される。キャンペーンの被害者には、Adidas、カンタス空港、Allianz Life、Louis Vuitton、Dior、Tiffany & Co.、Chanel、Pandoraが含まれるとされている。

シスコは、今回の攻撃で情報を盗まれた個人の人数や、攻撃者が身代金を要求したか否かなどの詳細を明かしていない。

関連記事：企業のSalesforceインスタンス狙うデータ窃取攻撃、新たな被害者はシャネル

生理管理アプリFloから密かにユーザーの月経データを集めていたメタはカリフォルニア州プライバシー法に違反：陪審が判断

TechCrunch – August 5, 2025

米カリフォルニア州の陪審員は8月1日、生理周期追跡アプリ「Flo」のユーザーが提訴した集団訴訟において、メタ社が州のユーザープライバシー法に違反したとの判断を下したという。Floが抱える多数のユーザーの代表であると主張する原告らは、Floとメタが広告追跡等の目的でFloのアプリを通じてユーザーの生理日や妊活目標などのプライベートな保健データを無断で収集し、カリフォルニア州プライバシー侵害法（CIPA）に違反したと訴えていた。

このFloに対する訴訟は2021年に提訴されたもので、メタ社に加え、Googleや広告分析企業のAppsFlyerおよびFlurryも被告として名指しされていた。なおGoogleは今年7月、Floは8月頭に、それぞれ和解を成立させている。

今回の陪審の判断を受け、原告側の主担当弁護士はデジタルな保健データの保護およびビッグテック企業の責任に言及しつつ、「メタのような企業がユーザーの最も個人的な情報から秘密裏に利益を得ている場合、責任を追及されるべき。今日の結果は、特に機微性の高いデータに関するプライバシーの根本的な権利を強化するものだ」などと述べたという。

一方のメタは判決に異議を唱え、Floのユーザーの情報を不正に傍受したことはないと主張しているとのこと。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

ランサムウェアレポート：『2024 Ransomware? What Ransomware?』

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』