Salesforce上のフィッシング攻撃を阻止

URL Protectionは、WithSecure Cloud Protection for Salesforceの機能です。Sales Cloud、Service Cloud、Experience Cloud、AgentforceなどのSalesforce環境全体、および標準オブジェクトとカスタムオブジェクトの両方において、リンクをスキャンして脅威を検出します。
レコード、ケース、コミュニティポータル、チャット、オートメーションなどに表示されるリンクを問わず、悪意のあるウェブサイトやアクセスが許可されていないウェブサイトへのアクセスをリアルタイムでブロックします。この保護機能は、リンクが最初に投稿された時点と、ユーザーがリンクをクリックした瞬間の両方で動作し、新たに悪用された悪意のあるサイトも確実に検知します。
フィッシングリンクをブロックするだけでなく、新規登録されたドメインや、リンク短縮サービス（bit.ly、tinyurlなど）で隠された悪意のあるリンク先といった、高度な脅威も検知します。
（注：ファイルやQRコード内に隠されたリンクは、「ファイル保護」機能によってスキャンされます。）

いいえ。メールフィルターは受信トレイを保護するだけです。リンクがレコード、ケースのコメント、ファイル、またはポータルを通じてSalesforceに一度入り込むと、メールセキュリティは適用されなくなります。攻撃者はこのことを知っており、こうした死角がしばしば無防備であるため、意図的にSalesforceを標的にしています。

たった1回のクリックで、認証情報を盗むマルウェアやランサムウェア、その他の悪意のあるソフトウェアが実行される可能性があります。脅威の中には、クリックさえ必要としないものもあります。「ドライブバイ」ダウンロードは、侵害されたページにアクセスするだけで実行されてしまうことがあります。Salesforce内では、URLが検査されない限り、ファイルやリンクとのあらゆるやり取りが感染の温床となる可能性があります。新規登録されたドメインや偽装された悪意のある短縮URLといった高度な脅威をブロックすることは、フィッシング対策において極めて重要です。

ユーザーがコンテンツを投稿またはアップロードできるほぼすべての場所――カスタムフィールド、標準オブジェクトやフィールド、ケースのコメント、コミュニティフォーラム、メールからケースへの送信、Webからケースへの送信フォーム、さらにはAgentforceのチャットやワークフローなど――が対象となります。こうした自由入力欄は、多くの場合、外部ユーザーにも閲覧可能です。そのため、Salesforceは攻撃の拡散経路として魅力的な標的となります。攻撃者は、顧客やパートナーへのサービス提供に使用するのと同じワークフローを通じて、従業員にアクセスできるからです。Salesforceは多くの業務上重要なシステムと連携しているため、攻撃者はこれを拡散の拠点として利用します。たった1つの悪意あるリンクが、Microsoft 365、ERP、あるいはサービスプラットフォームへとリスクを広げる可能性があるのです。

URLの状態は瞬く間に変化する可能性があるからです。今日正常に機能しているサイトでも、明日には乗っ取られているかもしれません。攻撃者は、短縮URLや新規登録されたドメイン、さらにはAI生成のフィッシングキットといった手口を用いて、フィルタリングを回避しようとします。そのため、「クリック時保護」が極めて重要となります。これは、リンクが最初に表示された時点だけでなく、ユーザーが実際にアクセスした瞬間にそのリンクを評価する仕組みだからです。

フィッシングは依然として最も多いサイバー攻撃の手口です。IBMの報告によると、攻撃の41%にフィッシングが関与しており、そのうち26%はSalesforceのような一般公開アプリケーションを標的としています。WithSecureのテレメトリデータによると、企業のSalesforce組織でスキャンされた全URLのうち、約1%が悪意のあるものです。これはわずかな数字に聞こえるかもしれませんが、規模を考慮すると、平均的なSalesforce組織において、わずか数週間のうちに数千もの危険なリンクが業務ワークフローに流入することになります。Salesforce自体も、フィッシングをサイバーリスクとして指摘するアドバイザリを公開しています。

トレーニングはリスクの軽減に役立ちますが、経験豊富で知識のある人でも騙されてしまうことがあります。攻撃者は、ユーザーを油断させて騙すために、説得力のあるフィッシング攻撃を仕掛けてきます。意識を高めることは重要ですが、人的ミスが発生した際にはセキュリティ対策が機能しなければなりません。ユーザーがクリックする前に保護することが、責任ある対応です。

Salesforce内でのフィッシング攻撃は、目に見える被害が発生するまで気づかれないことがよくあります。最近のCRMおよびSaaS関連のインシデントは、攻撃者がいかに迅速に認証情報を盗み出し、接続されたシステムへと侵入できるかを示しています。当社が調査した侵害事例では、Salesforce内のたった1つのフィッシングリンクが原因で、認証情報やMFAトークンが盗まれ、Microsoft 365への横方向の移動（ラテラルムーブメント）が発生しました。侵害が発生してから対応するのはリスクが高く、コストもかかります。「予防は常に対応よりも安上がりである」という、古くからあるセキュリティの格言は今も真実です。見えないものは守れません。

いいえ。WithSecure™ Cloud ProtectionはSalesforceネイティブのソリューションです。数分でインストールが完了し、標準オブジェクトとカスタムオブジェクトの両方をカバーし、Sales Cloud、Service Cloud、Experience Cloud、Agentforceの各プラットフォームで動作します。脅威は自動的にブロックされ、管理者には明確なアラートとレポートが提供されます。既成のダッシュボードやレポートが用意されているほか、独自のレポートを作成することも可能です。

有害なリンクを自動的にブロックし、不要なカテゴリをフィルタリングし、明確な分析情報を提供することで、管理者やセキュリティ運用担当者の負担を軽減します。セキュリティチームは、ユーザーにリスクの発見を任せるのではなく、リアルタイムの可視性と自動化された是正措置を得ることができます。これにより、調査すべきインシデントが減り、万が一見落としがあった場合でも迅速に対応できます。これは最前線の防御ラインであり、遅延や業務の停滞を招くことなく、発生源で即座に作用します。