米国連邦捜査局(FBI)が、データ窃取と恐喝攻撃の一連の活動でUNC6040およびUNC6395として追跡されている2つのサイバー犯罪グループに関連する侵害指標を公開するため、緊急警告を発出した。
両グループは異なる初期アクセス手法を通じて組織のSalesforceプラットフォームを標的にしている。UNC6395は2025年8月にSalesloft Driftアプリケーションの侵害されたOAuthトークンを悪用してSalesforceインスタンスを標的とした広範囲なデータ窃取キャンペーンを実行した。
Salesloftは2025年3月から6月にかけてGitHubアカウントが侵害されたと発表し、Driftインフラストラクチャを隔離してAIチャットボットアプリケーションをオフラインにした。UNC6040は2024年10月から活動し、ビッシングキャンペーンを通じてSalesforceインスタンスを乗っ取り大規模なデータ窃取と恐喝を行っている。
GoogleはUNC6240という別のクラスターが恐喝段階を担当しShinyHuntersグループと名乗っていると報告した。
ShinyHunters、Scattered Spider、LAPSUS$が統合し、2025年9月12日にTelegramチャンネル「scattered LAPSUS$ hunters 4.0」で活動停止を宣言した。
From: 
FBI Warns of UNC6040 and UNC6395 Targeting Salesforce Platforms in Data Theft Attacks
【編集部解説】
このサイバーセキュリティ事案を深く理解するために、まずOAuth認証の仕組みから説明しましょう。OAuthトークンは、ユーザーがパスワードを共有することなく、第三者アプリケーションにサービスへのアクセス権限を付与する仕組みです。
今回の攻撃で特に注目すべきは、UNC6040による「ビッシング」(音声フィッシング)の巧妙さです。攻撃者はIT支援を装って被害者に電話をかけ、Salesforceの接続アプリ設定ページ(https://login.salesforce.com/setup/connect)に誘導し、悪意のあるアプリを承認させました。この手法により多要素認証やパスワードリセット、ログイン監視といった従来の防御手段を迂回することが可能になりました。
一方のUNC6395による攻撃は、SalesloftのGitHubアカウントが2025年3月から6月にかけて侵害され、攻撃者がこの期間中に偵察活動を行った結果として発生しました。攻撃者はGitHubからDriftのAWS環境に横移動し、OAuth トークンを窃取したのです。影響を受けた組織は数百社に上り、Cloudflare、Zscaler、Palo Alto Networks、PagerDutyなどの大手セキュリティベンダーも含まれていました。
この事件が示す最も深刻な意味は、サプライチェーン攻撃の新たな局面です。従来のサプライチェーン攻撃はソフトウェアそのものの改ざんが中心でしたが、今回はSaaS統合の信頼関係を悪用する手法へと進化しています。特にSalesforceのような企業の中核システムが標的となることで、顧客データベース全体が危険にさらされる状況が生まれました。
さらに注目すべきは、ShinyHunters、Scattered Spider、**LAPSUS$**という3つの主要サイバー犯罪グループの統合です。これらのグループはそれぞれ異なる専門性を持ち、統合により攻撃の全工程をカバーする能力を獲得しました。ShinyHuntersはデータ窃取と恐喝リークの専門性を、Scattered Spiderは音声フィッシングとドメインスプーフィングの高度な技術を提供しています。
ただし、2025年9月12日に発表された活動停止宣言については、専門家は懐疑的な見方を示しています。過去の事例を見ると、このような宣言は一時的な潜伏であることが多く、グループの分裂、リブランド、再浮上というパターンが繰り返されてきました。
この事案が企業に与える長期的な影響は計り知れません。OAuth統合への信頼性が揺らぎ、企業は第三者統合の管理方法を根本的に見直す必要に迫られています。また、コールセンター職員への社会工学攻撃対策や、API使用状況の異常監視など、従来の境界防御を超えた包括的なセキュリティ戦略が求められています。
【用語解説】
OAuth(オーオース): 第三者アプリケーションがユーザーのパスワードを知ることなく、限定的なアクセス権限を取得できる認証・認可の標準プロトコル。ユーザーは直接サービスにログインし、第三者アプリに必要な権限のみを付与する。
ビッシング(Vishing): Voice PhishingとVoice over Internet Protocolを組み合わせた造語で、電話を使った音声による詐欺手法。攻撃者が技術サポートや金融機関職員を装い、被害者から機密情報を聞き出そうとする社会工学攻撃の一種である。
UNC(Uncategorized): FireEyeやMandiantが未分類の脅威グループに付与する識別コード。UNCの後に続く数字は、各グループの活動パターンや使用するツール、攻撃手法の類似性に基づいて割り当てられる。
OAuth トークン: OAuth認証プロセスで発行される一時的なアクセス権限を表すデジタル証明書。このトークンを持つアプリケーションは、ユーザーに代わって特定のリソースにアクセスできる。
データローダー: Salesforceが提供するデータ一括処理ツール。大量のレコードをインポート、エクスポート、削除する際に使用される。攻撃者はこのツールを改造して不正なデータ抽出に悪用した。
サプライチェーン攻撃: 直接的な標的ではなく、その標的が信頼する第三者のサービスやソフトウェアを侵害することで、最終的な標的にアクセスする攻撃手法。
【参考リンク】
Salesforce(外部)
世界最大手のクラウド型顧客関係管理プラットフォーム。営業支援、マーケティングオートメーション、顧客サービス等の機能を統合提供
FBI インターネット犯罪苦情センター(IC3)(外部)
FBIが運営するサイバー犯罪報告の中央窓口。インターネット関連犯罪の被害報告を受け付け、捜査機関への情報提供を行う
OAuth 2.0 公式サイト(外部)
OAuth 2.0認証・認可フレームワークの公式情報サイト。プロトコルの仕様、実装ガイド、セキュリティベストプラクティスを提供
Salesloft(外部)
営業支援プラットフォームを提供する企業。Salesforceとの統合機能を持つDriftチャットボットサービスが今回の攻撃で侵害された
【参考記事】
FBI Flash Alert: Cyber Criminal Groups UNC6040 and UNC6395(外部)
FBI公式の緊急警告文書。UNC6040とUNC6395による攻撃手法の詳細、侵害指標、推奨対策を技術的に解説
Salesforce attacks in 2025: Why, How and What’s Next(外部)
WithSecureによるSalesforce攻撃の包括的分析。UNC6040とUNC6395の攻撃手法、被害範囲について詳細に解説
Seqrite Uncovers UNC6040 Extortion Campaign(外部)
SeqriteによるUNC6040攻撃の技術的分析。数百社の被害規模とThe Comとの関連について詳述
通話の代償: ビッシングから始まるデータ恐喝(外部)
Google脅威インテリジェンスチームによるUNC6040のビッシング攻撃の詳細分析を日本語で解説
GitHub Account Compromise Led to Salesloft Drift Breach(外部)
SalesloftのGitHubアカウント侵害からDrift攻撃に至る経緯を詳述。偵察期間と攻撃の技術的詳細を解説
【編集部後記】
今回のSalesforce攻撃事例を読んでいて、OAuth統合の管理や電話による社会工学攻撃への対策について、改めて考えさせられました。私たち自身も、第三者アプリの権限設定を見直すきっかけになりそうです。
実は当メディアでも、今年8月に「サイバー犯罪2大グループ「ShinyHunters」「Scattered Spider」連携」という記事を掲載していました。あの時点では両グループの「連携」段階でしたが、わずか1ヶ月後にFBIから公式警告が発表され、さらに統合から活動停止宣言まで一気に展開したことに、私たちもサイバー脅威の変化スピードの速さに驚いています。
皆さんの現場では、今回のような新しい攻撃手法についてどのような対策を検討されているでしょうか。私たちもまだまだ学ぶことが多く、読者の皆さんの実体験や気づきをお聞かせいただけると、サイバーセキュリティ記事をより良いものにしていけると感じています。
過去記事と一緒に読んでいただくと、この脅威がどう変化してきたかも見えてきて興味深いかもしれません。
