ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

フィッシング詐欺でSalesforceの顧客リスト流出、偽メール出回る

» 2007年11月08日 08時10分 公開
[ITmedia]

 Salesforce.comは、従業員がフィッシング詐欺に遭って顧客リストを流出させた結果、顧客あてのフィッシングメールが出回っているとして、注意を呼びかける書簡をサイトに掲載した。

 それによると、同社のある従業員がフィッシング詐欺に引っかかってパスワードを公開してしまったため、顧客リストがコピーされたという。ただし、これは同社のアプリケーションやデータベースの脆弱性に起因するものではないと強調している。

 流出したリストには顧客の氏名、会社名、電子メールアドレス、電話番号、およびSalesforce.comの顧客管理用データが記載されていた。

 その結果、「少数の顧客」あてに、Salesforce.comの請求書を装った偽メールが届き、そのうちの「ごく少数」がパスワードを明かしてしまったという。現在、サポートおよびセキュリティチームが被害に遭った顧客対応に当たるとともに、捜査当局に通報して事実関係を調べ、今後の被害防止措置を取っていると同社は説明する。

 さらに数日前から、キーロガーなどをこっそりインストールするマルウェアを添付した新たなフィッシング詐欺メールが、顧客多数をターゲットとして出回っているという。

 この問題についてはSANS Internet Storm Centerも10月31日付で、Salesforce.comの顧客を直接狙い撃ちにした偽メールについての報告が多数寄せられていると伝えていた。

 SANSによると、問題のメールは米連邦取引委員会(FTC)や雇用均等委員会(EEOC)から届いたように装い、ほとんどに受信者のフルネームが記載されていたという。

 Salesforceでは顧客に対し、IPアドレス制限をかけて、自社のネットワークやVPNからしかSalesforceにアクセスできないようにするとともに、不審な電子メールを開かないよう従業員教育を徹底するなどの対策を促している。

Copyright © ITmedia, Inc. All Rights Reserved.