　SaaSのセキュリティ対策を手掛けるAdallomは2月19日、Salesforce.comの利用企業から情報を盗み出すことを狙ったマルウェア「Zeus」の新しい亜種を発見したと伝えた。企業のSaaS（Software as a Services）アプリケーションを標的としたZeusの亜種が確認されたのは、同社が把握している限りでは初めてだとしている。

　Adallomによると、Salesforce.comのサービスを使っていたある企業で、特定の従業員が短時間で何百回もの参照オペレーションを繰り返す不審な動作が検出された。

　この従業員は問題の動作のことは知らないと主張し、会社で使っていたPCにもマルウェアは検出されなかった。しかし、さらに調べた結果、従業員が仕事に追いつくため週末や夜間に使っていた私物のWindows XPマシン（旧バージョンのInternet Explorer搭載）が、Zeusの亜種に感染していたことが分かったという。

　この亜種を調べたところ、Salesforce.comの認証されたセッション（my.salesforce.com）を検知する機能があることが判明。ユーザーのSalesforce.comインスタンスのコピーをリアルタイムで作成し、一時フォルダに保存する仕組みになっていた。

Adallomが公開した攻撃情報

　今回の攻撃にはそれほど高度な技術は使われていないものの、SaaSからの情報窃盗に的を絞った亜種が出現したのは重大な事態だと同社は解説する。

　Adallomによると、Salesforceなど企業向けSaaSプロバイダーの大部分は最先端のネットワークセキュリティ対策を実装している半面、SaaSを利用する側のセキュリティ対策は顧客任せになっている。このため、IT部門の管理が行き届かない範囲から会社のリソースにアクセスする従業員は、最大の弱点になっているという。

　ZeusにはSaaSアプリケーションから情報を盗む機能も簡単に実装でき、こうした攻撃はあらゆる企業で使っているあらゆるSaaSアプリケーションに対して発生し得るとAdallomは警告している。