フィッシング詐欺でSalesforceの顧客リスト流出、偽メール出回る

Salesforce.comの従業員がフィッシング詐欺に引っかかって顧客リストを流出させた結果、顧客が詐欺メールの被害に遭っている。

[ITmedia]

　Salesforce.comは、従業員がフィッシング詐欺に遭って顧客リストを流出させた結果、顧客あてのフィッシングメールが出回っているとして、注意を呼びかける書簡をサイトに掲載した。

　それによると、同社のある従業員がフィッシング詐欺に引っかかってパスワードを公開してしまったため、顧客リストがコピーされたという。ただし、これは同社のアプリケーションやデータベースの脆弱性に起因するものではないと強調している。

　流出したリストには顧客の氏名、会社名、電子メールアドレス、電話番号、およびSalesforce.comの顧客管理用データが記載されていた。

　その結果、「少数の顧客」あてに、Salesforce.comの請求書を装った偽メールが届き、そのうちの「ごく少数」がパスワードを明かしてしまったという。現在、サポートおよびセキュリティチームが被害に遭った顧客対応に当たるとともに、捜査当局に通報して事実関係を調べ、今後の被害防止措置を取っていると同社は説明する。

　さらに数日前から、キーロガーなどをこっそりインストールするマルウェアを添付した新たなフィッシング詐欺メールが、顧客多数をターゲットとして出回っているという。

　この問題についてはSANS Internet Storm Centerも10月31日付で、Salesforce.comの顧客を直接狙い撃ちにした偽メールについての報告が多数寄せられていると伝えていた。

　SANSによると、問題のメールは米連邦取引委員会（FTC）や雇用均等委員会（EEOC）から届いたように装い、ほとんどに受信者のフルネームが記載されていたという。

　Salesforceでは顧客に対し、IPアドレス制限をかけて、自社のネットワークやVPNからしかSalesforceにアクセスできないようにするとともに、不審な電子メールを開かないよう従業員教育を徹底するなどの対策を促している。