Salesforceから社内ネットワークへ侵入、被害が急増する音声フィッシング攻撃とは

フィッシング攻撃はヒトの心理を突く攻撃で、防ぐことが難しい。現在、Salesforceのユーザーを狙ったボイスフィッシング攻撃が続いており、警戒が必要だ。

[David Jones，Cybersecurity Dive]

　Googleのサイバー脅威インテリジェンスチームGoogle Threat Intelligence Group（GTIG）は、「Salesforce」のインスタンスを狙うサイバー攻撃を報告した（注1）。経済的な動機から、攻撃者グループが数カ月にわたって活動中だ。音声を用いたボイスフィッシング（ビッシング）でデータを窃盗した後、恐喝につなげる。

偽の音声を使ったフィッシング攻撃とは

　Googleが2025年6月4日に公開した内容によると、同社が「UNC6040」として追跡中の攻撃者グループは、ユーザー企業のIT担当者を装って、英語を話すことが多い多国籍企業の支社の従業員をだます。ユーザーが漏らしてはいけない機密の認証情報を受け取った後、それを使って組織のSalesforceのデータにアクセスした。

　これは一種のソーシャルエンジニアリング攻撃だ。攻撃者は企業の従業員をだまして、Salesforceに接続されたアプリケーション（アプリ）の設定ページに従業員を誘導してアクセスさせた。そのタイミングで正規ではない悪質なバージョンの「Salesforce Data Loader」アプリを使ってユーザーのSalesforce環境から機密情報に不正アクセスし、盗み出した。

　このようなデータ窃盗にとどまらず、攻撃者は標的のネットワーク内で横移動して、被害者が利用可能な他のクラウドサービスにもアクセスした。企業の内部のネットワークにも侵入した。

ボイスフィッシング攻撃を防ぐには

　フィッシング攻撃は知り合いや上位の人物から送られてきた（と思われる）メッセージを信用しやすいというヒトの心理的な弱みを利用している。ヒトは権威に弱く、不安や緊急性が加わるとよりガードが下がってしまう。ある意味で、マルウェアや脆弱（ぜいじゃく）性の悪用よりも防御しにくい。

　企業における防御策は心理面を重視するべきだ。まずボイスフィッシングの手口や事例（本文の場合であればSalesforceの事例）、攻撃を防げなかった場合のリスクについて、従業員教育が必要だ。攻撃訓練サービスを利用するのもよいだろう。

　次にシステム的な対策が来る。多要素認証を導入して、フィッシングでパスワードなどが漏れても被害が拡大しにくい体制を築く。従業員や部署の電話番号の公開範囲を絞ったり、不審な電話の報告体制を構築したりすることも役立つ。現在はまだソリューションとしてあまり確立していないものの、AI音声検知ツールなどの動向に注目を払うこともよいだろう。

個人として備える方法

　ボイスフィッシングは企業だけではなく、個人も狙う。個人としての対策は、知らない電話番号からの着信に注意すること、何らかの指示があった場合にその電話をいったん切って相手から教わった連絡先ではなく、正規の連絡先で確認するといった対応が役立つ。（キーマンズネット編集部）

Salesforceはユーザーに警告していた

　Salesforceは2025年3月（注2）、これらのソーシャルエンジニアリング攻撃について警告済みだ。同社の広報担当者は「Cybersecurity Dive」に対して、「これらの攻撃はSalesforceのプラットフォームのいかなる脆弱性とも関連している兆候がない」と述べた。

　広報担当者は「ボイスフィッシングのような攻撃は、個々のユーザーのサイバーセキュリティ意識やベストプラクティスの隙間を突くことを目的としたターゲット型のソーシャルエンジニアリング詐欺だ」とも語った。

　Salesforceはユーザー顧客に対して、多要素認証を有効化する他、アクセス権を制限したり、ログインIPアドレスを制限したりするように促した。

　Salesforceのインスタンスが標的になった理由や、攻撃者がSalesforceのツールをどのように把握したのかはすぐには明らかにならなかった。Googleの研究者は他にこのツールを使用している攻撃者を確認できていない。

　研究者によると、攻撃者が悪質なバージョンのツールを展開する際、攻撃ごとに熟練度に違いが見られたという。

　GTIGのオースティン・ラーセン氏（プリンシパル脅威アナリスト）は次のように述べた。

　「熟練度に違いがあるのは、Salesforceのプラットフォームに関するスキルや知識のレベルが異なる複数の攻撃チームが活動しているからだろう。専門知識は内部情報に基づくものではなく、過去の攻撃活動やリサーチを通じて得られた可能性が高い」

　研究者によると、幾つかのケースにおいて攻撃者は初期アクセスを得た後、数カ月を置いて恐喝を試みたという。攻撃者が外部のパートナーと連携している証拠があり、幾つかのケースでは、ターゲットに対して恐喝した攻撃者が脅威グループ「ShinyHunters」に所属していると主張した。

　今回のSalesforceを狙った活動は、ソーシャルエンジニアリング攻撃の手段としてボイスフィッシングの利用が増えているという最近の傾向を反映している。

　ラーセン氏は「Salesforceを狙った攻撃者と『The Com』として知られる地下組織との間に広範な重複がある」と述べ、これには悪名高いサイバー犯罪グループ「Scattered Spider」も含まれていると指摘した。しかし、同氏は、Salesforceへの攻撃に関与した攻撃者は、Scattered Spiderの活動の一部と重複する脅威グループ「UNC3944」とは異なるグループだとも指摘した。

出典：Hackers abuse malicious version of Salesforce tool for data theft, extortion（Cybersecurity Dive）
注1：The Cost of a Call: From Voice Phishing to Data Extortion（Google Cloud Blog）
注2：Protect Your Salesforce Environment from Social Engineering Threats（Salesforce）