Salesforceのデータ漏えい疑惑に対して集団訴訟勃発 「基盤に問題ない」と反論：セキュリティニュースアラート

Salesforceは顧客情報の不正流用を巡り、集団訴訟を含む15件以上の訴訟に直面している。原告はデータ流出により詐欺被害を受けたと主張しており、法的責任が問われている状況にある。

[後藤大地，ITmedia]

　『The Register』は2025年9月26日（現地時間）、クラウド型顧客関係管理（CRM）サービス大手のSalesforceが、顧客データ流出に関連して複数の訴訟に直面していると報じた。この数週間の間にカリフォルニア州北部で複数の訴訟が提起されていることが明らかとなった。

　Salesforceは1999年に設立され、本社を米カリフォルニア州サンフランシスコに置くクラウドプラットフォーム企業。企業を対象にクラウドベースの営業支援、顧客管理、マーケティング自動化といったソフトウェアを提供し、世界最大規模のSaaSベンダーの一つとして知られている。今回の訴訟は、顧客データを扱う同社の信頼性や責任範囲を問うものとなっている。

データ漏えい訴訟15件、クラウドCRMの信頼性が問われる訴訟

　訴訟の多くは集団訴訟で、訴状ではデータ流出により個人情報が不正に利用され、原告らがなりすましや詐欺の標的になっていると主張している。Salesforceは自社のシステムに問題はなかったと否定しており、基盤となるプラットフォーム自体は侵害されていないと公式声明で説明した。

　The Registerが確認したところ、少なくとも15件の訴状が提出されており、原告の中には集団訴訟を代表する形で申し立てをしている者もいる。ステイシー・ジョンソン氏による訴状では2025年7月に発生した侵害に関連してSalesforceが個人識別情報を十分に保護しなかったと主張している。この訴えでは侵害情報の詳細な開示や、将来的な再発を防ぐためのセキュリティ改善を求めている。

　訴状によると侵害は適切かつ合理的なサイバーセキュリティ手続きやプロトコルを実施しなかったことの直接的な結果とされている。また被害者は今後の不正利用を防ぐために金融口座や信用報告を継続的に監視しなければならず、既に具体的な被害を受けているケースもあると記載されている。ジョンソン氏は損害賠償とシステムの安全性を改善するための差止命令も求めている。

　Salesforceだけでなく顧客企業も共同被告として挙げられている。対象にはTransUnion、Allianz Life Insurance、Farmers Insurance、Workday、Pandora Jewelryといった企業が含まれている。

　2025年8月には、信用情報機関TransUnionが約450万人に影響する侵害を受けたと発表している。ただしSalesforceの技術との関連については明らかにしていない。同様に、Farmers Insuranceも第三者ベンダーの攻撃によって100万人規模の顧客データが流出したと説明しているが、こちらもCRMベンダーの名は示していない。

　ジョンソン氏の訴状では今回の不正アクセスは2025年3月にSalesloftの「GitHub」が侵害を受けたことに端を発しているとされている。Salesloftの「Drift」アプリはSalesforceと統合可能な営業支援ツールであり、GitHub侵害によって盗まれたOAuthトークンが後にSalesforceのデータへの不正アクセスに使われたと主張されている。

　今回の一連の動きは、クラウドサービス基盤そのものが侵害を受けたわけではないとするSalesforceの説明と、実際に被害を受けたとする原告らの主張が対立している状況を示している。企業や個人を取り巻くデータ利用の広がりの中で、責任の所在や保護措置の妥当性を巡る法的な争いは今後も続く可能性がある。