UNC6040グループとは
UNC6040グループは、Googleの脅威インテリジェンスチームによって特定された、セールスフォースを標的にする金融的に動機付けられた脅威クラスターです。このグループは、ボイスフィッシング(声によるフィッシング)攻撃を使用して、セールスフォースのデータにアクセスし、さらにはOkta、Microsoft 365、Workplaceなどの接続されたプラットフォームにもアクセスすることができます。
ボイスフィッシングとは
ボイスフィッシングは、電話や音声メッセージを使用して、個人情報や機密情報を詐取する手法です。UNC6040グループは、この手法を使用して、ITサポートとして偽装し、従業員に悪意のあるSalesforce Data Loaderアプリケーションをインストールさせることで、セールスフォースのデータにアクセスしています。
攻撃方法
UNC6040グループは、ボイスフィッシング攻撃を使用して、セールスフォースのデータにアクセスします。まず、ITサポートとして偽装し、従業員に連絡して、機密情報を提供するように促します。その後、悪意のあるSalesforce Data Loaderアプリケーションをインストールさせ、セールスフォースのデータにアクセスします。
Salesforce Data Loaderとは
Salesforce Data Loaderは、セールスフォースのデータをインポートおよびエクスポートするためのツールです。UNC6040グループは、このツールを改ざんして、セールスフォースのデータにアクセスし、さらにはOkta、Microsoft 365、Workplaceなどの接続されたプラットフォームにもアクセスすることができます。
対策
UNC6040グループの攻撃から身を守るためには、セールスフォースのユーザーは、以下のような対策を講じる必要があります。
- マルチファクタ認証を有効にする
- アクセス権限を制限する
- ログインIPを制限する
- ITサポートとしての連絡に注意する
マルチファクタ認証とは
マルチファクタ認証は、ユーザーが複数の要素(例:パスワード、生体認証、SMSコードなど)を使用して、システムにログインすることを要求する手法です。この手法を使用することで、不正アクセスを防ぐことができます。
この記事は、生成AIにより執筆されています。