いっしー@Webエンジニア
Webツールプログラミング言語プログラミング学習ITニュースIT用語辞典ポートフォリオ
Webエンジニア向けプログラミング解説動画をYouTubeで配信中!
▶ チャンネル登録はこちら

【ITニュース解説】FBI Warns of UNC6040 and UNC6395 Targeting Salesforce Platforms in Data Theft Attacks

2025年09月13日に「The Hacker News」が公開したITニュース「FBI Warns of UNC6040 and UNC6395 Targeting Salesforce Platforms in Data Theft Attacks」について初心者にもわかりやすく解説しています。

作成日: 更新日:

ITニュース概要

FBIは、サイバー犯罪グループUNC6040とUNC6395がSalesforceプラットフォームを狙い、データ窃盗と恐喝攻撃を仕掛けていると警告した。両グループは異なる方法でシステムへ侵入している。

出典: FBI Warns of UNC6040 and UNC6395 Targeting Salesforce Platforms in Data Theft Attacks | The Hacker News公開日:

ITニュース解説

FBIは、UNC6040とUNC6395という二つのサイバー犯罪グループが、企業のSalesforceプラットフォームを標的としたデータ窃盗や恐喝攻撃を仕掛けていることに対し、緊急の警告を発した。この警告は、これらの攻撃グループが使用した特定の攻撃の痕跡、すなわち「IoC(Indicators of Compromise)」を公開することで、企業が自社のシステムを防御できるように促すものだ。

システムエンジニアを目指す者にとって、このようなニュースは単なる事件の報道にとどまらず、現代のITセキュリティの現実と、自身が将来担うべき責任の重さを教えてくれる重要な情報源となる。

UNC6040とUNC6395は、現時点では「未分類の脅威グループ」として追跡されているサイバー犯罪組織だ。これらは特定の国家に属していると断定できる証拠がない場合や、まだ分析が進行中の場合に用いられる名称で、攻撃手法や目的が共通している場合に一時的にグループ化される。両グループは、顧客データや企業の機密情報が豊富に蓄積されているSalesforceプラットフォームを標的としており、異なる「初期アクセス機構」を用いてSalesforce環境への侵入を試みている点が特徴である。

Salesforceは、顧客関係管理(CRM)をはじめとするクラウドベースのビジネスアプリケーションスイートであり、世界中の数多くの企業が営業、マーケティング、カスタマーサービスなどの業務で利用している。企業にとって、顧客情報、取引履歴、営業進捗など、事業運営に不可欠な極めて重要なデータがSalesforce上に集約されているため、ここが攻撃されると、企業の存続を脅かすレベルの被害につながる可能性がある。顧客データの漏洩は、企業の信頼失墜、法的責任、経済的損失を招き、個人情報保護の観点からも重大な問題となる。

攻撃の手口は主に「データ窃盗」と「恐喝」である。データ窃盗は、Salesforceに保存されている機密性の高い顧客情報や企業の営業秘密などを不正にコピーして持ち出す行為を指す。この盗まれたデータは、ダークウェブで販売されたり、詐欺行為に利用されたりすることがある。一方、恐喝は、盗み出したデータを公開すると脅したり、あるいはSalesforce内のデータを暗号化してアクセス不能にし、その解除と引き換えに金銭(通常は仮想通貨)を要求する、いわゆるランサムウェア攻撃の一種である。これらの攻撃は、企業の事業継続を直接的に阻害し、多大な損害を与える。

両グループが用いる「異なる初期アクセス機構」とは、攻撃者が最初にSalesforce環境に侵入する際の様々な手段を意味する。これは例えば、フィッシングメールを通じて従業員のログイン情報を窃取する、Salesforceに関連するアプリケーションやシステムに存在する既知または未知の脆弱性を悪用する、あるいはSalesforceアカウントに紐づくサードパーティアプリケーションのセキュリティ設定の不備を突く、といった多岐にわたる方法が考えられる。システムエンジニアは、これらの多様な侵入経路を理解し、それぞれに対する防御策を講じる必要性を認識しなければならない。

FBIが公開した「IoC(Indicators of Compromise)」は、これらの攻撃の痕跡を示す具体的な情報だ。具体的には、攻撃者が使用した特定のIPアドレス、ドメイン名、マルウェアのファイルハッシュ値、ネットワーク通信パターン、不審なシステム変更の兆候などが含まれる。企業はこれらのIoCを自社のセキュリティシステム(SIEMやEDRなど)に適用することで、同じ攻撃グループによる不審な活動が自社システム内で発生していないかを検知し、未然に防いだり、被害を最小限に抑えたりするための迅速な対応が可能となる。IoCの共有は、サイバーセキュリティコミュニティ全体で脅威情報を共有し、連携して防御を強化する上で極めて重要な役割を果たす。

システムエンジニアを目指すのであれば、このようなサイバー攻撃の脅威が常に存在することを深く理解し、システムの設計、開発、運用においてセキュリティを最優先事項として考慮する習慣を身につけることが不可欠だ。具体的には、堅牢な認証システムの実装、脆弱性管理の徹底、定期的なセキュリティパレビューや診断の実施、従業員へのセキュリティ意識向上トレーニングの実施、そして最新の脅威情報に常にアンテナを張り、迅速に対応できる体制を構築することなどが求められる。Salesforceのような重要なクラウドプラットフォームを利用する企業が増えるにつれて、クラウドセキュリティに関する知識とスキルもまた、システムエンジニアにとって不可欠な要素となっている。このFBIの警告は、システムを守る役割を担うエンジニアにとって、セキュリティへの深い理解と、その対策の重要性を改めて強く示している。

関連コンテンツ

関連IT用語

【ITニュース解説】FBI Warns of UNC6040 and UNC6395 Targeting Salesforce Platforms in Data Theft Attacks | いっしー@Webエンジニア