最近では、米チケット販売大手チケットマスターやスペインのオンライン銀行サンタンデールが標的となってきた。ShinyHuntersは、Scattered Spiderと呼ばれるハッカーコミュニティとつながりがあるとされる。Scattered Spiderは2023年の米リゾート大手のMGMリゾーツやシーザーズ・エンターテインメントへのランサムウエア攻撃、英小売大手マークス&スペンサー、米保険会社アフラックへの攻撃などで知られている。
もっともライトによれば、攻撃主体の特定は難しいことが多いという。「特定のスキルを持つ人物が、異なるグループに呼ばれることはよくある。Spiderでは例えば、特定のメンバーがセールスフォースに詳しいためにShinyHuntersに雇われた可能性もある。必要なスキルに応じて他のグループから人員を採用するのだ」
システム自体の脆弱性は「なし」
インフォセキュリティ・マガジンによれば、このところ「セールスフォースのインスタンスを狙った継続的なデータ窃取活動」が続いているが、これらの航空会社への攻撃がその一環なのかは不明だ。グーグルの脅威分析グループ(TAG)のブログ投稿によれば、ShinyHuntersの多くの攻撃は「ボイスフィッシング」を用いている。これは多国籍企業の英語圏拠点の従業員をだましてハッカーにアクセス権を付与させたり、機密認証情報を共有させたりすることで、最終的にその組織のセールスフォースのデータを盗む手口だ。確認されたすべての事例で、ハッカーはセールスフォース自体の脆弱性を悪用するのではなく、エンドユーザーをだますことで犯行に及んでいた。
このためサイバーセキュリティ専門家は、一連の攻撃はセールスフォースに詳しい集団によるものだとみている。ライトは「これらの攻撃者が捕まれば、セールスフォースの開発者や管理者だった、あるいは何らかの関係があったことが判明する可能性が高い」と述べている。
セールスフォースの広報担当者はフォーブスへの電子メールで、「当社のフォースプラットフォームは侵害されておらず、当社技術に既知の脆弱性はない」と説明した。ライトも、「セールスフォース自体に脆弱性はないが、それが悪用されている。高度なカスタマイズが可能なソフトウエアを実現することで、悪用の可能性が高まるというのは、微妙な問題だ」と述べている。
驚くべきことに、こうした大規模なサイバー攻撃を行うハッカーの多くは、年齢が20代前半や10代だ。ライトは「国家が背後にはいないこうしたグループの多くは、退屈し、スキルはあるが、倫理面での限度を知らな若者の集まりだ。人生経験や、自分の行動がもたらす結果への認識が乏しいため、このような行為に走ってしまう」と述べた。
