-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
Scattered LAPSUS$ HuntersがSalesforceを恐喝、新リークサイトに顧客39社を掲載
Scattered Lapsus$ Huntersと名乗るハッカーグループが、新たなリークサイトを立ち上げてSalesforceからおよそ10億件分のレコードを盗み出したと主張。被害企業とされる39社の社名を掲載し、身代金支払いの期限を2025年10月10日に設定しているという。
Scattered Lapsus$ Huntersは、Scattered SpiderとLapsu$、およびShinyHuntersの脅威グループ3組と繋がりを持つメンバーで構成されるハッカー連合で、9月11日にはリタイアを思わせる投稿を行っていた。しかしその活動は続けられている模様で、10月2日に同集団の新たなリークサイトが始動。このサイトには、世界最大規模のSaaS・CRMプロバイダーであるSalesforceのシステムが侵害され、9億8,900万件のレコードが盗み出された旨が記された。
Scattered LAPSUS$ Huntersによれば、攻撃が行われたのは2024年半ばごろ。攻撃では、ビッシング(ボイスフィッシング)によるソーシャルエンジニアリング攻撃で企業のIT担当者やヘルプデスクスタッフになりすまし、ターゲット従業員を騙して当該企業のSalesforce環境内で不正なサードパーティアプリを認可させる手法が用いられたとされる。これにより攻撃者はOAuthトークンを入手し、多要素認証をバイパスして大量のデータを盗み出すことができたという。盗まれたデータには、社会保障番号や運転免許証、生年月日など機微な個人情報が含まれるとされる。
リークサイトにはこの攻撃でデータを盗まれたとされる企業39社(日本企業3社含む)の社名が掲載されているが、Scattered LAPSUS$ Huntersの今回の恐喝相手はSalesforce社自体であるとみられ、10月10日の期限日までに身代金交渉に応じない場合、盗んだとされるすべてのデータを公開することになるとして同社を脅している。またリークサイトには、「我々(Salesforceと攻撃者)の間で解決できれば、(Salesforceの)顧客に対する個々の恐喝は取り下げられる。Salesforce, Incよ、君たちが支払えば、ほかのどの企業も支払わずに済むのだ」というメッセージも記載された。なお、同グループは2025年7月にSalesforceへメールで連絡したものの、有意義な反応は得られなかったとも述べている。
このほか、Scattered LAPSUS$ Huntersの新たな恐喝には以下のような特徴が見受けられる。
- 法律事務所の関与可能性を示唆:攻撃者は交渉において法律事務所の手を借りる可能性を示唆し、バーガー・モンタギュー(カナダの法律事務所)の名を挙げて同事務所にハッキングの証拠を共有することもあり得る旨を主張した。
- 裁判所および規制当局への文書提供を示唆:攻撃者は、Salesforceが度重なる侵入を阻止できなかったことは「刑事上の過失」であると述べ、米国やヨーロッパの裁判所および規制当局へ詳細な文書を提供予定であるなどと主張した。
- GDPRなどプライバシー関連法違反も指摘:攻撃者はさらに、GDPR(欧州一般データ保護規則)、CCPA(カリフォルニア州消費者プライバシー法)、HIPAA(米国の医療保険の携行性と責任に関する法律)に定められる義務を引用し、Salesforceがデータ保護の義務を果たさなかったと主張。これを裏付けるためのフォレンジック風の文書も公開すると約束した。この文書には、攻撃のフィンガープリントや漏洩の影響を受ける個人の国別分類、漏洩した情報の種類といった情報が記載されているとされる。
Salesforceは10月3日にステータスページ上で「Security Advisory: Ongoing Response to Social Engineering Threats」と題したメッセージを公開。脅威アクターによる恐喝の試みを認識しているとした上で、現在外部の専門家や当局と連携して調査中である旨、これらの恐喝が過去のインシデント、または立証されていないインシデントに関連する試みである旨、また影響を受けた顧客にはサポートを提供する旨を述べている。加えて、Salesforceのプラットフォームが侵害された兆候はなく、同社テクノロジーの脆弱性に関連する活動でもないとも請け合った。その上で顧客に対しては引き続きフィッシングやソーシャルエンジニアリングの試みに警戒するよう促し、詳細なガイダンスについては3月12日公開のブログ記事「Protect Your Salesforce Environment from Social Engineering Threats」を参照するよう記している。
【開催決定!】日本最大級サイバー(脅威)インテリジェンスイベント
サイバーインテリジェンスイベント「Cyber Intelligence Summit 2025」を11月に開催します!
サイバー脅威インテリジェンスとセキュリティ戦略についての国際セキュリティカンファレンス「Cyber Intelligence Summit 2025」を2025年11月5日〜7日、ベルサール虎ノ門にて開催します。
3大メガバンクスペシャル対談に加え、JC3、公安調査庁、楽天、リクルート、パナソニックなどからスペシャリストが登壇!海外からもアナリストや専門家が多数登壇予定です!
開催概要
名 称:Cyber Intelligence Summit 2025
日 程:2025年11月5日(水)、6日(木)、7日(金)
会 場:ベルサール虎ノ門(オンライン配信無し)
主 催:株式会社マキナレコード
料 金:フルパス ¥10,000|展示パス 無料
翻 訳:英日同時通訳付き
登 録:特設サイトより事前登録
Day,01&02 一般企業中心(官公庁の方も歓迎)
民間企業においてサイバー脅威インテリジェンスに携わる部門のご担当者(情報セキュリティ部門、リスク管理、経営企画、IT・CISO室など)、またはその関連分野に関心をお持ちの方。官公庁・自治体のサイバー対策・情報分析部門にご所属の方もご参加いただけます。
Day,03 官公庁限定(主に法執行機関)
国内の官公庁、自治体、法執行機関(警察庁・都道府県警察、防衛省関連機関等)において、サイバー対策、情報保全、脅威インテリジェンス業務に携わる職員の方。
※Day3は官公庁、自治体、法執行機関所属の方に限りご参加いただけます。
※個人名義や企業所属でのご登録はできません。
とは?.jpg)
