Salesforce.comは、従業員がフィッシング詐欺に遭って顧客リストを流出させた結果、顧客あてのフィッシングメールが出回っているとして、注意を呼びかける書簡をサイトに掲載した。
それによると、同社のある従業員がフィッシング詐欺に引っかかってパスワードを公開してしまったため、顧客リストがコピーされたという。ただし、これは同社のアプリケーションやデータベースの脆弱性に起因するものではないと強調している。
流出したリストには顧客の氏名、会社名、電子メールアドレス、電話番号、およびSalesforce.comの顧客管理用データが記載されていた。
その結果、「少数の顧客」あてに、Salesforce.comの請求書を装った偽メールが届き、そのうちの「ごく少数」がパスワードを明かしてしまったという。現在、サポートおよびセキュリティチームが被害に遭った顧客対応に当たるとともに、捜査当局に通報して事実関係を調べ、今後の被害防止措置を取っていると同社は説明する。
さらに数日前から、キーロガーなどをこっそりインストールするマルウェアを添付した新たなフィッシング詐欺メールが、顧客多数をターゲットとして出回っているという。
この問題についてはSANS Internet Storm Centerも10月31日付で、Salesforce.comの顧客を直接狙い撃ちにした偽メールについての報告が多数寄せられていると伝えていた。
SANSによると、問題のメールは米連邦取引委員会(FTC)や雇用均等委員会(EEOC)から届いたように装い、ほとんどに受信者のフルネームが記載されていたという。
Salesforceでは顧客に対し、IPアドレス制限をかけて、自社のネットワークやVPNからしかSalesforceにアクセスできないようにするとともに、不審な電子メールを開かないよう従業員教育を徹底するなどの対策を促している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR