GoogleのThreat Intelligence Groupによると、「UNC6040」と呼ばれているサイバー犯罪グループが、音声によるフィッシング(ビッシング)攻撃を使って企業のSalesforceインスタンスへの侵害を試みていることが判明しました。
攻撃者は侵入後、被害者のデータを外部に持ち出し、身代金を要求しています。
Googleのリサーチャーは次のように説明しています。「過去数ヶ月にわたり、UNC6040はITサポートを装った説得力のある電話を使ったソーシャルエンジニアリングで、ネットワークへの侵入を繰り返し成功させています。」
「この手口は、グローバル企業の英語圏の拠点に勤務する従業員を欺くのに効果的だと分析しています。攻撃者は、被害者からアクセス権を奪うか、機密情報を漏らすような行動を誘発させることで、最終的にはSalesforceデータを窃取しています。いずれのケースでも、Salesforceそのものの脆弱性を突くのではなく、エンドユーザーを操作することで侵害が行われていました。」
攻撃者は、非公式のSalesforceツールを使って、従業員のSales Forceへアクセスを許可させようと誘導します。
リサーチャーは次のように述べています。「UNC6040の代表的な攻撃方法として、犯罪者が作成した接続アプリケーションを、被害者のSalesforceポータルに承認させます。このアプリケーションは多くの場合、Salesforce公式の『Data Loader』を改変した非公式版です。」
攻撃者は、ビッシング電話で被害者にSalesforceの接続アプリケーションの設定ページへアクセスさせ、正規のアプリとは異なる名称やブランディングのData Loaderを承認させようとします。この手順により、UNC6040はユーザーのSalesforce環境に直接アクセスし、情報の検索や持ち出を可能にします。
Googleは、ビッシング自体は新しい手口ではないものの、近年ではIT部門を装った電話が使われ、これに騙される人が増えていると警告しています。
リサーチャーは次のように指摘します。「UNC6040による今回の攻撃キャンペーンは、Salesforce環境からの情報窃取に特化している点が非常に特徴的です。また、こうした動きは、脅威アクターが初期侵入の手段としてITサポート担当者を狙う傾向が強まっていることを示す、懸念すべき傾向でもあります。このように洗練されたビッシングを活用するUNC6040のような攻撃は、金銭的な見返りを求める犯罪グループにとって、有効な侵入手段であることを物語っています。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
詳細については、Googleの記事を参照してください。
原典:KnowBe4 Team著 2025年6月9日発信 https://blog.knowbe4.com/warning-crooks-are-using-vishing-attacks-to-compromise-salesforce-instances