【ITニュース解説】FBI warns of UNC6040, UNC6395 hackers stealing Salesforce data

今回のニュースは、アメリカの連邦捜査局（FBI）が、UNC6040とUNC6395と呼ばれる二つのサイバー攻撃グループが、企業のSalesforce環境からデータを盗み出し、その情報を利用して恐喝を行っていることについて、緊急の警報を発したというものだ。システムエンジニアを目指す皆さんにとって、これは現代のIT環境でセキュリティがどれほど重要かを示す、具体的な事例として捉えることができる。

まず、Salesforceとは何かを理解することが重要だ。Salesforceは、顧客関係管理（CRM）と呼ばれる分野で世界的に広く利用されているクラウドベースのサービスである。クラウドベースとは、インターネットを通じて必要な時にサービスを利用できる形態を指し、自社でサーバーやソフトウェアを用意する必要がないため、多くの企業が導入している。Salesforceは、顧客情報、営業活動の記録、マーケティングデータ、サポート履歴など、ビジネスに不可欠な機密性の高い情報を一元的に管理する。つまり、Salesforceは企業の「顧客データの中枢」とも言える存在であり、そこには非常に価値のある情報が集中しているため、サイバー攻撃の格好の標的となる。

今回FBIが警告したUNC6040とUNC6395は、このような企業のSalesforce環境に侵入し、データを不正に窃取する活動を行っているハッカー集団である。ニュースでは彼らを「脅威クラスター」と表現しているが、これは特定の攻撃手法や目的、そして行動パターンを持つ攻撃者グループを指す専門用語だと理解すると良い。彼らの目的は単純なデータ窃盗にとどまらず、盗み出したデータを人質に取り、企業から金銭を恐喝することにある。これは、単なる情報漏洩だけでなく、企業の事業継続性や信頼性に直接的な打撃を与える、非常に悪質な手口だ。

具体的に彼らがどのようにしてSalesforce環境を侵害するのか。ニュース記事からは詳細な攻撃手法がすべて明らかになっているわけではないが、一般的にクラウドサービスへの攻撃では、いくつかのパターンが考えられる。例えば、企業の従業員を騙して偽のウェブサイトに誘導し、SalesforceにログインするためのIDとパスワードを盗み取るフィッシング詐欺や、マルウェア（悪意のあるソフトウェア）を用いて認証情報を窃取する手口がある。Salesforceにログインするための正規の認証情報が漏洩すれば、攻撃者は容易に正規のユーザーになりすましてシステムにアクセスできる。

また、企業がSalesforceの設定を適切に行っていなかったり、セキュリティパッチの適用を怠っていたりするような、設定ミスやシステムの脆弱性を狙う場合もある。Salesforceのような複雑なクラウドサービスには、多岐にわたる設定オプションが存在し、これらの設定が不適切であったり、デフォルトのままになっていたりすると、そこがセキュリティ上の穴となることがあるのだ。さらに、Salesforceが提供するAPI（アプリケーション・プログラミング・インターフェース）の悪用や、Salesforceと連携するサードパーティ製アプリケーションの脆弱性を突いて侵入を試みるケースも考えられる。

一度Salesforce環境に侵入されると、攻撃者は顧客の個人情報、企業の営業戦略に関するデータ、財務情報など、多岐にわたる機密情報を自由に閲覧・ダウンロードできてしまう。これらのデータは、企業の競争力を左右する非常に重要な資産であり、外部に流出すれば、企業の信用失墜、顧客からの訴訟、莫大な損害賠償といった深刻な事態を招く可能性がある。そして、窃取したデータを公開すると脅し、身代金を要求するという恐喝の手口は、企業にとって非常に大きなプレッシャーとなる。データ公開によるブランドイメージの失墜、さらには企業の評判が大きく傷つくことで、顧客離れや株価の下落といった影響も避けられない。

システムエンジニアを目指す皆さんにとって、このニュースはセキュリティの重要性を肌で感じるきっかけとなるだろう。現代のシステム開発や運用において、セキュリティは後付けで考えるものではなく、設計段階から組み込むべき必須要素である。クラウドサービスの利用が当たり前になった今、そのサービスが提供するセキュリティ機能の理解と適切な設定、そしてそれを利用する企業側のセキュリティ対策が不可欠となる。

例えば、Salesforceのようなクラウドサービスを利用する際には、多要素認証（MFA）の導入は必須だ。IDとパスワードだけでなく、スマートフォンを使った認証コードや生体認証など、複数の認証要素を組み合わせることで、たとえパスワードが漏洩しても不正ログインを防ぐ確率が格段に高まる。また、「最小権限の原則」も重要だ。これは、ユーザーやシステムには、その業務を遂行するために必要最低限のアクセス権限のみを与えるという考え方だ。管理者権限のような強力な権限を持つアカウントが安易に多くの人に付与されていないか、定期的に棚卸しを行い、厳格に管理する必要がある。

さらに、Salesforceの設定や利用状況を定期的に監査することも重要だ。不審なログイン履歴がないか、意図しないデータのエクスポートが行われていないか、機密データへのアクセスが異常に多いユーザーがいないかなど、システムが生成するログを監視することで異常を早期に発見できる。また、Salesforce自身が提供するセキュリティ機能や推奨されるベストプラクティスを常に把握し、それらに従って環境を強化していく継続的な努力が求められる。セキュリティパッチの適用も同様に、迅速かつ確実に行う必要がある。

UNC6040やUNC6395のような脅威は、常に変化し、新しい攻撃手法を開発している。そのため、システムエンジニアは、最新のセキュリティ情報を常にキャッチアップし、自身の知識をアップデートしていく必要がある。単にシステムを構築するだけでなく、そのシステムが安全に運用され、企業や顧客の貴重なデータを守る責任があることを認識すべきだ。このFBIの警告は、企業がクラウドサービスを利用する上でのセキュリティ対策の甘さを狙う攻撃者が存在し、その脅威が現実のものであることを示している。システムエンジニアとして、このような脅威からシステムを守るための知識とスキルを身につけることは、今後ますます重要となる。セキュリティは専門家だけの問題ではなく、システムに関わる全てのエンジニアが意識すべき基本的な要素なのだ。クラウド環境における認証、アクセス制御、データの暗号化、ログ管理、そしてインシデント発生時の対応プロシージャなど、学ぶべきことは多岐にわたるが、これらを体系的に理解し、実践することで、企業を守る盾となることができる。

今回の事件は、単一のソフトウェアの脆弱性を突くものというよりも、クラウドサービスの運用の仕方、つまり「人」のセキュリティ意識や設定ミスを狙う側面が大きいとも考えられる。したがって、技術的な対策だけでなく、組織全体のセキュリティ意識を高めるための教育やガイドラインの策定も、システムエンジニアが貢献できる重要な領域となるだろう。最終的に、強固なセキュリティ体制を築くことは、企業の信頼と持続的な成長を支える基盤となる。