ハッカーグループShinyHuntersが2025年6月にGoogleスタッフを騙してログイン情報を取得し、GoogleのSalesforceデータベースに侵入した。
この侵害により25億のGmailアカウントが影響を受けた。Googleは取得されたデータは企業名や連絡先詳細などの基本的なビジネス情報に限定されると発表し、8月8日までに影響を受けたユーザーに通知を完了した。
侵害後、詐欺師らはGoogle従業員になりすまして偽の電話、メール、テキストメッセージを送信し、被害者にログイン情報の提供やパスワードリセットを求めている。
英国では650エリアコードからの詐欺電話が急増している。サイバーセキュリティ専門家James Knight氏は「Googleからのメッセージや電話を受け取っても信用するな。10回中9回は偽物だ」と警告した。
ShinyHuntersは過去に2024年Ticketmasterから1.3テラバイト、2023年オーストラリアPizza Hutから20万人の顧客データを窃取している。FBI特別捜査官Richard Collodi氏は同グループの手法を「著しく狡猾」と評している。
From: 
2.5 billion Gmail accounts exposed as massive hack uncovered
【編集部解説】
今回のGmailハッキング事件は、現代のサイバーセキュリティが直面する根本的な課題を浮き彫りにしています。技術的な脆弱性ではなく、人間の心理を巧みに突く「ソーシャルエンジニアリング」によってGoogleという世界最大級のテック企業が攻撃されたという事実は、私たちに重要な教訓を与えてくれます。
ShinyHunters(UNC6040)が採用した手法は、ヴィッシング(Voice Phishing)と呼ばれる音声による詐欺技術でした。攻撃者は社内のIT部門を装って電話をかけ、従業員にSalesforceの「Data Loader」という正規ツールの偽装版をインストールさせることに成功しました。この手法の巧妙さは、既存の業務プロセスに溶け込む形で攻撃を仕掛けた点にあります。
特筆すべきは、この攻撃が単発的なものではなく、組織的かつ連続的なキャンペーンの一環だったことです。Google以外にもLVMH(ルイ・ヴィトン、ディオール、ティファニー)、シャネル、アディダス、コカ・コーラなど、世界的な企業が同様の手法で標的にされています。これは単なるハッキングではなく、グローバル規模での産業スパイ活動とも言えるでしょう。
クラウドプラットフォームの相互依存リスクも見過ごせません。GoogleがSalesforceを利用していたことで、一つのプラットフォームの侵害が複数の企業に影響を与える「サプライチェーン攻撃」の様相を呈しました。これは現代のクラウドファースト戦略において避けて通れない構造的リスクです。
今回の事件で注目すべきは、攻撃者が盗んだデータの性質です。パスワードやクレジットカード情報ではなく、「企業名と連絡先詳細」という一見価値の低そうなビジネス情報が標的でした。しかし、これらの情報は後続の攻撃の足がかりとして極めて価値が高く、より精巧な標的型攻撃の基盤となります。
規制面では、この事件を受けてクラウドサービス利用時の第三者認証アプリに関する監督強化が議論されています。特に金融機関や重要インフラ事業者においては、OAuth認証の厳格化が求められる可能性があります。
長期的視点では、この事件はサイバーセキュリティの「人的要素」重視への転換点となるかもしれません。技術的防御だけでなく、従業員教育や組織文化の変革が不可欠であることが明確になりました。
また、AIと機械学習を活用した攻撃検知システムの重要性も浮き彫りになりました。Googleが短時間で攻撃を検知・遮断できたのは、こうした技術があったからこそです。一方で、攻撃者もAIを悪用した、より巧妙な社会工学攻撃を展開する可能性があり、防御と攻撃の技術競争は今後も続くでしょう。
この事件は、デジタル時代における信頼関係の脆弱性を露呈させました。25億人という膨大な数のユーザーが影響を受けたという事実は、現代社会がいかにデジタルインフラに依存しているかを物語っています。
【用語解説】
ソーシャルエンジニアリング
技術的な脆弱性を突くのではなく、人間の心理や信頼関係を悪用してセキュリティを突破する攻撃手法である。IT部門を装って電話をかけ、従業員を騙して機密情報を入手する手法が代表的だ。
ヴィッシング(Voice Phishing)
音声による詐欺攻撃で、電話やボイスメールを利用して被害者を騙し、個人情報や認証情報を盗み取る手法である。従来の信頼できる電話サービスの特性を悪用し、発信者ID偽装技術と組み合わせて使用される。
ShinyHunters(UNC6040)
2020年に結成された国際的なサイバー犯罪グループで、ポケモンゲームの「色違いポケモン」から名前を取った。これまでにAT&T Wireless、Microsoft、Santander、Ticketmasterなど多数の企業を標的にし、10億人以上のデータを流出させたとされている。
650エリアコード
アメリカ・カリフォルニア州のサンフランシスコベイエリアの電話番号に使用される市外局番である。今回の事件では、攻撃者がこの番号を偽装してGoogle従業員を装った詐欺電話に使用している。
【参考リンク】
Google(外部)
世界最大級の検索エンジンを運営し、Gmail、Google Drive、YouTube等のサービスを提供する米国のテクノロジー企業
Salesforce(外部)
顧客関係管理(CRM)を中心としたクラウドベースのビジネスアプリケーションを提供する企業
【参考記事】
Google hack: 2.5 billion Gmail users at risk from scammers(外部)
ShinyHuntersによるGoogleのSalesforceデータベース侵害の詳細と25億Gmailユーザーに対する対策提言
ShinyHunters Salesforce cyber attacks explained(外部)
ShinyHuntersの歴史的背景と過去の攻撃実績について詳細に分析している記事
Salesforce Data Breach 2025: Inside the Coordinated Attacks(外部)
2025年のSalesforceを標的とした一連の組織的攻撃について複数企業への同時攻撃を詳述
How Google, Adidas, and more were breached in a Salesforce scam(外部)
偽装されたSalesforce Data Loaderツールを用いた具体的な攻撃手法について解説
The Cost of a Call: From Voice Phishing to Data Extortion(外部)
Google Threat Intelligence GroupによるUNC6040のヴィッシング攻撃手法について詳細分析
【編集部後記】
今回のGmail事件を受けて、皆さんはどのようなセキュリティ対策を実践されていますか?特にビジネスシーンでは、私たちも電話やメールでの「なりすまし」に遭遇する機会が増えているように感じます。
innovaTopia編集部でも、この記事を執筆しながら改めて自分たちの日常を振り返ってみました。果たして、もし「Google IT部門です」という電話がかかってきた時、私たちは本当に疑うことができるでしょうか?
読者の皆さんとぜひ共有したいのは、このような人間の心理を悪用する攻撃にどう備えるべきかという点です。技術的な防御も大切ですが、むしろ私たち一人ひとりの「疑う習慣」こそが最後の砦なのかもしれません。皆さんの職場や日常でも、こうした新しいタイプの脅威について話し合ってみてはいかがでしょうか?
