Salesforceは、金銭目的のサイバー犯罪者にとって極めて投資対効果の高いターゲットとなっています。2025年、攻撃者の手法はプラットフォームの脆弱性を突くものから、「信頼の悪用」へと大きくシフトしました。実際に観測された攻撃活動の多くは、ソフトウェアの欠陥を利用するのではなく、アイデンティティ(ID)の不正利用、ソーシャルエンジニアリング、OAuth認証の悪用、そして信頼された連携設定やワークフローの侵害に集中しています。
さらに、「アドバーサリ・イン・ザ・ミドル(AiTM/中間者攻撃)」型のフィッシングキットを用いることで、攻撃者はセッショントークンや多要素認証(MFA)の要求をリアルタイムで奪い取っています。これらの手法は、システムの脆弱性を直接突くのではなく、「信頼されたワークフロー」の中で実行されるため、正当な業務活動と見分けることが極めて困難になっています。
公表されている一連の攻撃活動は、正当なアクセス経路がいかに悪用されているかを如実に示しています。OAuthトークンの窃取により、パスワードを介さずに長期間のアクセスが可能となりました。また、信頼されているSalesforce連携ツールに対するサプライチェーン侵害は、複数の組織にわたって被害の影響範囲(ブラスト半径)を拡大させました。これと並行して、恐喝を目的とする攻撃者は、リークサイトでの活動においてSalesforceのデータに公然と言及しています。たとえその主張が誇張されたものや未確認のものであったとしても、「Salesforceのデータは有力な交渉材料になる」という認識を強める結果となっています。
これらのパターンは、リスクの性質が根本的に変化していることを示唆しています。**「アイデンティティ」「自動化」「連携」「コンテンツ」が現在では密接に相互接続されており、Salesforce環境内において拡大し続ける信頼の境界線を形成しています。Salesforceは、人間のユーザー、非人間アイデンティティ、自動化されたプロセス、そしてデータフローが絶えず相互作用する「信頼の拠点」としての機能をますます強めています。自動化やエージェント駆動の実行、AI支援によるワークフローが普及するにつれ、攻撃者にとっては、委譲されたアクセス権限や長期的な信頼関係を悪用する機会がさらに増えることになります。
2026年とその先を見据えた備えとして、組織はSalesforceのセキュリティを、単なる「特定のポイントを制御する問題」としてではなく、「エコシステム全体の課題」として捉える必要があります。効果的な防御を支えるのは、アイデンティティ、連携、自動化、そしてコンテンツが時間の経過とともにどのように相互作用しているかを可視化し続けること、そして「信頼されているワークフロー」内で行われる悪用を検知できるかどうかにかかっています。WithSecure™ Cloud Protection for Salesforceは、URL、ファイル、QRコードを介したやり取り、さらにはアイデンティティやインテグレーションに至るまで検知と可視化の範囲を拡張することで、こうしたニーズに応えます。これにより、本来であれば通常のビジネス業務の中に紛れ込んでしまうような悪意ある活動を、確実に見つけ出します。
このような拡大する信頼関係の全体にわたって、ガバナンス、検知、および対応を一貫して運用できる組織こそが、Salesforceの機能進化と攻撃手法の高度化が同時に進む中で、リスクを管理し、優位な立場を築くことができるでしょう。