ハクソク

世界を動かす技術を、日本語で。

Googleが進行中のSalesforceデータ盗難攻撃でデータ漏洩の被害を受ける

292日前原文(bleepingcomputer.com)

概要

  • GoogleShinyHunters による Salesforce CRMデータ窃取攻撃 の被害に遭遇
  • 攻撃者は 音声フィッシング(vishing) で従業員を標的
  • 被害データは主に 公開情報 に限定
  • 他にも Adidas、Qantas、Allianz Life、Cisco、LVMH傘下 などが被害
  • 攻撃者は 身代金要求 やデータ流出の脅迫を実施

GoogleとSalesforce CRMデータ侵害の概要

  • Google が2024年6月に Salesforce CRMインスタンス の侵害被害を公表
  • 攻撃グループは UNC6040(またはUNC6240) としてGoogleが分類
  • ShinyHunters が実際の攻撃主体とされる
  • 攻撃手法は 音声フィッシング(vishing) による従業員へのソーシャルエンジニアリング
  • 目的は Salesforce への不正アクセスと 顧客データの窃取
  • 取得されたデータは 中小企業の連絡先情報や関連ノート
  • 公開情報 が大半で、機密性は比較的低い
  • Googleは インシデント対応、影響分析、対策実施 を速やかに実施

ShinyHuntersの活動と影響範囲

  • ShinyHunters は過去にも PowerSchool、Oracle Cloud、Snowflake、AT&T、NitroPDF、Wattpad、MathWay 等で侵害実績
  • 攻撃は現在も 継続中
  • ShinyHuntersは 複数のSalesforceインスタンス侵害 を主張
  • 攻撃後、 身代金要求メール で企業を脅迫
  • 身代金支払い例: 4ビットコイン(約40万ドル) を支払った企業も存在
  • 企業が支払いを拒否した場合、 データ公開または販売 を予告
  • 被害企業例: Adidas、Qantas、Allianz Life、Cisco、Louis Vuitton、Dior、Tiffany & Co.

攻撃の流れと企業対応

  • 攻撃者は 従業員を標的 にした音声フィッシングで認証情報を詐取
  • Salesforce インスタンスへのアクセスを獲得し、 顧客データ をダウンロード
  • 取得データで 企業に身代金要求
  • 企業が対応しない場合、 ハッキングフォーラムでデータ公開・販売
  • Googleは 影響範囲の限定迅速な遮断 を強調

今後の懸念と対策

  • Salesforce CRM を利用する企業全体への セキュリティ強化要求
  • 多要素認証(MFA)従業員教育 の重要性
  • インシデント対応計画 の見直しと迅速な情報共有
  • ShinyHunters による攻撃継続の警戒
  • データ流出・公開リスク への備え

Hackerたちの意見

Googleが社内でSalesforceを使ってるって知って、ちょっと驚いたな。NIHはその会社と深い関係があるし(他の選択肢じゃ全然ダメだから、自分たちのバグトラッカーまで持ってるし)。でも、ここ10年くらいで急成長してるから、もしかしたらこのDBは買収した会社から引き継いだものかもしれないし、まだ内部のものに置き換えられてないのかも。特にSalesforceに関しては、Googleが社内で代替品を持ってないってのは信じられるな。何年もGoogle WorkspaceにSalesforceみたいなのを求めてたけど、会社は全然興味なかったし。大半のGoogleの人たちは、新しいCRMを作るなんて退屈な知的作業だと思ってるんじゃないかな。

Googleは色んなことに非Googleのソリューションを使ってるよね。施設関連のことを考えただけでも。まあ、MicrosoftやAmazonもそうだけど。とはいえ、特定の役割のために人を雇ったり、自分たちが欲しいものを作ったりできるから、結局はそういうソリューションを作る価値があるかどうかの問題だよね。結局、メインのビジネスがあるわけだし。GoogleやAppleにも「退屈な」役割があって、そういうことをやりたいと思ってる人もたくさんいるんだよね。

営業の人たちはSalesforceにめちゃくちゃ慣れてるし、あんまり技術的じゃないから、変な新しいツールがあるとオンボーディングやトレーニングにかなり時間がかかると思う。経験豊富な営業マンを雇って、標準のSalesforceのフローを使わせれば、すぐに結果が出せるからね。

確か、Google Cloudのサポートチケットシステムは全部Salesforceの上に構築されてるんだよね。数年前にSalesforceがダウンしたとき、こっちもダウンしたし。

参考までに、私は2015年にGoogleに雇われて、「もしGoogleがGSuiteポートフォリオにCRMを追加するなら、作るべきか、買うべきか、それとも主要なプレイヤーと提携すべきか?」という質問に答える手助けをしていました。私のチームの任務は、さまざまな選択肢をもとにビジネスケースを作成し、それを上層部に報告することでした(当時、Prabhakarが「Google for Work」の製品を担当していました)。何度も、3年のROIが数百万ドル規模のケースを提示したのですが、毎回「小さすぎる」と却下されました。数年後、GoogleはCopper CRMと提携し、Workspace/GSuiteへの拡張ビルドをサポートしましたが、同時に複数のSalesforceインスタンスを一つに統合する大規模な企業合理化プロジェクトも始め、Anaplanの標準的な企業機能やプロセスを導入しました。これにより、バックオフィスのITチームが統合され、結果的に彼らは歴史的に持っていた以上の権限を持つことになりました。Ruthが役割を変えた時点で、ほとんどの「普通の」ビジネスプロセスはかなり標準化されていました。ちなみに、SFDCのクラウドインスタンスは、最も複雑でカスタマイズされていて、もう5年近くフル稼働していて、営業データの正確な情報源となっています。

彼らは自分たちのバグトラッカーを持っているんだ、だって他の選択肢は全然ダメだから。 NIH(自分のところでやること)に関して言えば、これはかなり正当化できる理由の一つだね。たくさんのバグトラッカーの選択肢は本当に良くないから。

Googleが内部で開発した代替品を持ってないのが意外だな。

Googleの営業やPMの人たちと接した経験から言うと、彼らは社内ツールを使いたがらなくて、Jiraや他のツールをインストールしようとするんだよね。ツールの質に関係なく、彼らがすでに学んだものだから。昔はあんまりうまくいかなかったけど、最近は質の低い中間管理職や役員が増えて、承認を得ることができるようになった。うちの組織では、新しいVPが入社して1ヶ月以内にJiraを使った技術プロジェクトの報告を要求したんだ。もちろん、開発者たちは「絶対無理」って言ったから、しばらくの間、マネージャーたちがJiraとBuganizerの間で二重同期を試みてた。俺が辞める頃には、ほとんど放置されてて、荒れ果ててたよ…。

製品化を目指さない限り、CRMを開発するのは高くつくよね。特に国ごとの要件を含めようとすると余計に。カスタムソフトウェアのユーザーをトレーニングするのにもお金がかかるし、CRMを使う役割の人たちは比較的早く入れ替わるからね。製品にするとなると、SalesforceやSAP、Google、Microsoftなどと競争が激しい市場だし、Googleの「自分でやれ」ってアプローチには合わない。CRMを会社に導入するには、既存のプロセスを分析して、プロセスをソフトウェアの能力に合わせたり、ソフトウェアをプロセスに合わせたりする必要があるから、コンサルティングや統合サービスが必要になるんだよね。(これがうまくいかないことが多いけど…)

Googleは多くの内部ツールを、あまり良くない型にはまったSalesforceのものに置き換えているよ。文化の変化の一部なんだろうね。

こういう会社のカスタム内部ツールは、主にエンジニアリング部門に制限されているね。営業、マーケティング、会計などの従業員は、業界標準にこだわることが多いよ。

何人かの取締役はGoogleやSalesforceとのつながりがあるね。彼らは多くのテクノロジーや市場で提携してる。

彼らは内部にCRMを持ってたよ。でも、バグだらけで、重要な機能が欠けてて、エンジニアたちは本当にそれに取り組みたくなかったんだ。

もし私がGoogleの採用プロセスを乗り越えていたら、私もそう思うだろうな。もちろん、お金で解決できる問題だけどね。

出典から: https://cloud.google.com/blog/topics/threat-intelligence/voi... > このインスタンスは、中小企業の連絡先情報や関連ノートを保存するために使用されていました。分析の結果、データはアクセスが遮断される前の短い時間に脅威アクターによって取得されたことが明らかになりました。脅威アクターが取得したデータは、ビジネス名や連絡先詳細など、基本的かつ主に公開されているビジネス情報に限られていました。

脅威アクターが取得したデータは、基本的で主に公開されているビジネス情報に限られていた。つまり、彼らは公開データとプライベートデータの両方を持っていったけど、プライベートデータは公に認めたくないものだから、あんまり良くないね。

「中小企業向けの連絡先情報と関連ノートを保存する」って、多分こういうことだよね:Googleの中小企業営業チームのSalesforceインスタンスに影響があったってこと。

分析の結果、脅威アクターがアクセスを遮断される前の短い時間にデータを取得したことがわかった。これは「彼らは何が起こっているかを知る前に完全に盗んでいった」って言ってるようなもんだね。

これが一般的に人々がSalesforceから盗もうとするものだよね。そんなに無害なものとは思えないし、金儲けできないならわざわざやらないと思う。詐欺請求みたいな二次的な計画があるんじゃないかな。

こういうコミュニケーションが大嫌い。「それはあまり重要じゃない、ほんのごく一部のユーザーのつまらないデータだったんです、本当に、信じてください!」って。これって何か法的な問題なの?実際に謝罪すると訴訟のリスクが増えるのかな?

ああ、それでKLMが私のデータを失ったのかな?

これって、https://venturebeat.com/ai/this-ai-already-writes-20-of-sale... に関連してるのかな?

6月に、Googleは「UNC6040」と分類する脅威アクターが、企業の従業員をターゲットにして音声フィッシング(ビッシング)やソーシャルエンジニアリング攻撃を行い、Salesforceインスタンスに侵入して顧客データをダウンロードしようとしていると警告した。 > [...] > 6月には、Googleの企業用Salesforceインスタンスがこの投稿で説明されているUNC6040の活動に影響を受けた。いや、昔ながらのソーシャルエンジニアリングだね。

驚いたよ。特に、Googleにはほとんど営業マンやアカウント担当者、顧客管理がいないみたいだから。

Googleには約4万人の営業とマーケティングの人がいるよ。多分、君のアカウントには誰も割り当ててないんじゃない?

Googleは苦しんでいる。ああ、苦しんでいるのはユーザーだよ。君が苦しんでるんだ。 https://www.youtube.com/watch?v=_-ywSPWu3K8

僕の推測では、設定ミスのあるforce.comサイトから漏れたんじゃないかな。サポートポータルや知識ベースとしてよく使われてたんだ。最近までは、デフォルトでアカウントや連絡先、商談の基本情報に公共アクセスを許可するように設定されてた。2019年には、これに影響を受けたクライアントがいたけど(幸運にもホワイトハットに見つけてもらった)。興味があったから、*.site.force.comを検索したら、影響を受ける可能性のあるサイトが何千も見つかったよ(データを抜き出さなくても脆弱性をテストできた)。最近の数年で、SFはこれらの穴を閉じるために多くのセキュリティパッチを出してきたけど、僕の理解では、ほとんどが管理者のアクションが必要なんだよね。SFがこれをニュースにしないでいられたのはずっと不思議だった。