WithSecureでキルチェーンを遮断する：コミュニティポータル経由の攻撃をどう防ぐか

「大きな力には大きな責任が伴う」という言葉があるように、機密データの保護は極めて重要です。IBMが発表した最新の「データ侵害のコストに関するレポート」によると、データ侵害による平均コストは過去最高の435万ドルに達しています。米国だけを見ると、その金額は944万ドルにまで跳ね上がります。

こうした憂慮すべき統計を踏まえ、本記事では「サイバーキルチェーン」を深く掘り下げ、攻撃者がSalesforceコミュニティポータルを悪用して不正アクセスを得る手口について解説します。また、WithSecureの「Cloud Protection for Salesforce」が、企業がこうした攻撃を軽減するのにどのように役立つか、そしてセキュリティ体制全体を強化するためのヒントについてもご紹介します。それでは始めましょう。

なぜ犯罪者はSalesforceコミュニティポータルを標的にするのか？

サイバー犯罪者が狙うのは、主に「金銭」と「データ」の2つです。Salesforceコミュニティポータルを悪用することで、犯罪者はこれら両方を同時に手に入れることができます。容易なことではありませんが、一度アクセス権を獲得すれば、ネットワーク内を横方向に移動（ラテラルムーブメント）することで、膨大なデータにアクセスし、その過程で被害を広げることが可能です。つまり、サイバー犯罪者がSalesforceコミュニティポータルを侵害できれば、そのアクセス権を利用して、他のシステムやアプリケーションを制御下に置く可能性もあるということです。

この情報は、なりすまし、金融詐欺など、様々な悪質な活動に利用される可能性があります。サイバー犯罪者のタイプごとに動機や手口は異なりますが、最終的な結果は同じです。金銭的損失、ブランドの評判の失墜、そしてデータの流出です。

脆弱性を解消する：Salesforceコミュニティポータルのセキュリティ強化

Salesforceは、レプリケーション、バックアップ、災害復旧、暗号化されたネットワークサービス、高度な脅威検知といった重要なインフラレベルのセキュリティ対策を提供していますが、データとアクセス制御のセキュリティ確保については、最終的には各企業が責任を負う必要がある点に留意することが重要です。

攻撃者がSalesforceへのアクセス権を得るために最もよく用いる手法の一つが、コミュニティポータルを経由する方法です。このシナリオでは、攻撃者は、コミュニティポータルへの正当なアクセス権を持つコミュニティメンバーを装って登録し、新しいユーザーアカウントを作成します。

さらに詳しく説明するために、サイバーキルチェーンを用いてこの外部からの脅威を分析してみましょう。その前に、簡単に復習します：

• サイバーキルチェーンは、サイバー攻撃のさまざまな段階を説明する、広く受け入れられているモデルです。その段階には、偵察（Reconnaissance）、武器化（Weaponization）、配信（Delivery）、悪用（Exploitation）、C2/持続（C2/Persistence）、および目的（Objective）が含まれます。

ここでは典型的な攻撃シナリオを概説しましたが、攻撃が発生する方法は他にも数多く存在します。サイバー攻撃は直線的なプロセスに従うものではなく、攻撃者は段階を飛び越えたり、行き来したり、目的に応じて戦術を調整したりすることが可能です。

サイバーキルチェーンについて復習したところで、今回の攻撃にどのように適用されるかを見ていきましょう。

1. 偵察
2. 攻撃者がユーザーアカウントを作成すると、プラットフォームの脆弱性に関する情報を収集するために偵察を行います。これには、古いソフトウェアのバージョン、パッチが適用されていない脆弱性、または設定ミスの検索が含まれる場合があります。
3. 武器化
4. プラットフォームの脆弱性に関する情報を収集した後、攻撃者は脆弱性を悪用する武器化されたドキュメントを作成します。これには、悪意のあるマクロを含むWordドキュメントや、JavaScriptコードが埋め込まれたPDFドキュメントなどが含まれます。
5. 配信
6. その後、攻撃者は武器化されたドキュメントをコミュニティポータルにアップロードし、Salesforce Experience Cloudにコンテンツドキュメントまたは添付ファイルとして保存します。
7. 悪用
8. 社内のユーザーがファイルをダウンロードして開くと、知らず知らずのうちに武器化されたペイロードが実行され、そのデバイス上のアプリケーション内の脆弱性が悪用されます。
9. C2/持続性
10. これにより、攻撃者はユーザーのデバイスへのアクセス権を取得し、横方向の移動、持続性の確保、またはさらなる内部偵察に進むことができます。
11. 目的
12. 攻撃者は、検知を回避し、持続性を維持し、データを持ち出すよう活動します。

ここでは典型的な攻撃シナリオを概説しましたが、このような攻撃が発生する方法は他にも数多く存在します。サイバー攻撃は直線的なプロセスに従うものではなく、攻撃者は各段階を飛び越えたり、前後に移動したり、目的に応じて戦術を調整したりすることが可能です。

製品：WithSecure™ Cloud Protection for Salesforce

一つ確かなことは、攻撃者は執拗であり、常に脆弱性を悪用する新たな方法を模索しているということです。WithSecure™ Cloud Protection for Salesforceは、高度なサイバー脅威からデータを保護したい企業のための究極のセキュリティソリューションです。

本ソリューションは、ランサムウェア、ゼロデイマルウェア、ウイルス、トロイの木馬、フィッシングリンクなど、幅広い脅威に対する包括的な保護を提供します。Salesforceとの共同開発により生まれたWithSecure™ Cloud Protectionは、プラットフォームのネイティブセキュリティ機能を補完し、サイバー脅威に対する最大限の保護を保証します。

WithSecure™ Cloud Protectionの主要な機能の一つは、URLがクリックされるたびにスキャンを行う能力です。具体例を挙げると、コミュニティポータルを経由した攻撃の試みは、第4段階で効果的に阻止されます。

また、ISO 27001およびISAE 3000（SOC 2）の認証を取得しており、データの安全性についてより一層の安心感を提供します。サイバー犯罪者にデータを盗まれ、ビジネスを危険にさらすことのないよう、今すぐお問い合わせください。