salesforce.com、顧客データの流出による被害を防ぐため大わらわ

Symantec が、3億5000万ドルを費やしてデータ漏洩防止ソフトウェア開発の Vontu を買収する理由とは何だろう。salesforce.com は最近、その理由を痛感したばかりだ。

salesforce.com のある経験の浅い従業員がフィッシングに騙され、不注意にも同社の顧客リストを流出させてしまった。同社は現在、その対応に追われている。そして顧客データを入手した攻撃者は、salesforce.con の顧客を狙ったフィッシングを展開している。

salesforce.com が6日付けで顧客に送り、同社の Web サイトにも掲載した文書のなかで、同社副社長 Parker Harris 氏は顧客に対し、顧客リストを流出させてしまった salesforce.com の従業員は、フィッシング詐欺の被害者との見方を示した。

「明確にしておきたいことは、あるフィッシング詐欺犯が、ある人物を騙してパスワードを手に入れたが、これは当社のアプリケーションあるいはデータベースのセキュリティ上の欠陥によるものではない」と Harris 氏は記している。なおこの種のデータ流出の原因として最も多いのはユーザー (従業員) の不注意で、salesforce.com の事例も例外ではなかったようだ。

フィッシング詐欺犯は、salesforce.com の顧客のフルネーム、社名、Eメールアドレス、電話番号、およびこれに付随する同社の管理情報を入手した。

その結果、これらの顧客に salesforce.com のインボイスを装った偽の Eメールが送りつけられる事態となった。特定の対象を狙い撃ちにすることから、セキュリティ専門家はこのような行為を「スピア フィッシング」(銛突き漁に例えた表現) と呼んでいる。salesforce.com はフィッシングの攻撃対象を明らかにしていないが、『Washington Post』紙の報道によると、攻撃対象の中には SunTrust Bank や 米給与計算サービス最大手の一角 Automatic Data Processing (ADP) が入っているという。

salesforce.com はこの問題に対処するため、アクセスログの監視と分析を行ない、影響を受けた顧客に警告するほか、セキュリティ対策業者へのコンサルティング依頼、詐欺サイトの追跡、社内におけるセキュリティ教育の見直しとアクセス規則の厳格化、そして新しいセキュリティ技術の検討など、様々な対策をとっている。