本サイトの記事や画像はAIが公的資料や報道を整理し制作したものです。[続きを表示]ただし誤りや不確定な情報が含まれることがありますので、参考の一助としてご覧いただき、実際の判断は公的資料や他の報道を直接ご確認ください。[私たちの取り組み]
Salesforceの顧客企業を狙ったデータ窃取と恐喝で名が挙がるサイバー犯罪グループ「Scattered LAPSUS$ Hunters(SLSH)」が、活動を再び活発化させている。Palo Alto Networksの脅威調査部門Unit 42は2025年11月下旬、SLSHが新しい「サービスとしてのランサムウェア」(RaaS)「ShinySp1d3r」を軸に、攻撃の収益化を広げる動きを見せているとまとめた。
「本体は無傷」でも、周辺連携から抜かれる
今回の焦点は、Salesforceそのものの脆弱性というより、外部サービスや連携アプリを踏み台にして顧客データへ到達する手口だ。Reutersは2025年11月、SalesforceがGainsightのアプリに関連する「異常な活動」を調査し、Gainsightアプリのアクセス権やトークンを取り消したと報じた。導入企業側から見ると、日常運用の延長にある連携が、侵入口になり得る現実が突きつけられる。
被害の見え方も厄介だ。TechCrunchはGoogleの脅威分析担当者の話として、影響が及び得るSalesforce環境が200社超にのぼる可能性を伝えた。ログインや連携の仕組みが複雑なほど、どこまで抜かれたかの切り分けに時間がかかる。現場では、取引先への説明、法務確認、システム側の封じ込めが同時進行になり、年末の体制が薄い時期ほど負担が跳ね上がる。
ShinySp1d3rが示す「侵入後」の値付け
RaaSは、ランサムウェアの開発者が「道具と取り分」を用意し、実行役の攻撃者が加盟して攻撃を回す仕組みだ。Unit 42は、SLSHがTelegram上の発信や暴露サイトを使い、期限をにおわせて支払いを迫る動きがあると記した。MOXFIVEも、SLSHがShinySp1d3rというRaaSを掲げ、英語圏の複数グループの手口や人材が混ざり合う形で露出を強めていると整理している。
技術面では、Unit 42はShinySp1d3rが現時点でWindows中心とされる一方、LinuxやVMware ESXi向けの展開が示唆されていると紹介した。仮に仮想基盤まで射程に入れば、暗号化による停止が「業務の止まり方」を直撃しやすい。守る側は、連携アプリの権限棚卸し、OAuthトークンの管理、ヘルプデスクを狙うソーシャルエンジニアリング対策、侵害の痕跡(IoC)の監視を、年末の手当てとして優先度高く組み直す局面に来ている。
参考・出典
- The Golden Scale: 望まれない贈り物の季節
- Salesforce says customer data possibly exposed following incident
- Google says hackers stole data from 200 companies following Gainsight breach | TechCrunch
- Hacking group claims theft of 1 billion records from Salesforce customer databases | TechCrunch
- MOXFIVE | Threat Actor Spotlight – ShinySp1d3r
