チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「Salesforceの設定ミスで1350万人のデータが流出するなんて、何が起きたの?」
「日本企業もSalesforceは使ってるけど、自社は大丈夫?」
チップスボス、ShinyHuntersってあの常連さんでしゅよね…McGraw Hillまでやられたんでしゅか?
ボスふふふ。McGraw Hillだけじゃない。同じ手口で300〜400社が侵害されている。
正規ツールを武器化した、巧妙な「設定ミス狙い」キャンペーンだ。
2026年4月14日、教育大手McGraw HillがSalesforce環境の設定ミスを起点に1,350万件の個人情報が流出したことを認めました。
身代金交渉が決裂し、ShinyHuntersはリークサイトに100GB超のデータを公開。
本記事では同社の事例から見える、Salesforce Experience Cloudを取り巻く広範な攻撃キャンペーンの実態と、自社で確認すべきポイントを解説します。
SaaS設定ミスは「自社の責任範囲」のグレーゾーンに落ちやすい論点です。
本稿で攻撃者側の視点を理解すれば、自社のSalesforce運用を即見直せます。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
McGraw Hillの公式声明と、リークされたデータの実態には認識のズレがあります。
そのズレに、SaaS時代の事故の特徴が表れています。
McGraw Hillは「コアな顧客DBや教材システムは無事で、影響は限定的」と発表しました。
一方ShinyHuntersは身代金支払い拒否を受けて100GB超を公開し、Have I Been Pwnedにも1,350万件として登録されています。
漏洩した情報は以下のとおりです。
| 漏洩データ | 件数・状況 |
|---|---|
| 氏名・メールアドレス・電話番号・住所 | 約1,350万件 |
| パスワード・金融情報 | 含まれず |
| 侵害経路 | Salesforceホストの特定ウェブページ |
| 主たる二次被害リスク | スピアフィッシング、なりすまし |
引用元: BleepingComputer
チップスパスワードは入ってなくても、氏名と電話と住所が揃ったら、なりすましし放題でしゅ…
ボスそう。攻撃者にとっては「素材」が手に入ればいい。
後はAIで個別のフィッシングメールを量産すれば、クリック率は跳ね上がる。
McGraw Hillは単独の被害者ではありません。同じ脆弱な設定を持つ企業が世界中で標的になっています。
ShinyHuntersは2025年9月以降、Salesforce Experience Cloudのゲストユーザー権限が過剰に設定された企業を狙い続けてきました。
2026年1月にはGoogle傘下Mandiantが公開した正規監査ツールAuraInspectorを攻撃用に改造。
未認証のAuraエンドポイントから内部オブジェクトを抽出する手法で、合計300〜400社が侵害されたと推定されています。
引用元: Salesforce Ben
「ベンダー側の責任」と切り分けてしまうと、設定ミスは見つかりません。
共有責任モデルを意識した点検が必要です。
優先度の高いチェックポイントは以下のとおりです。
引用元: FINRA Cybersecurity Alert
チップスうちもExperience Cloudで顧客ポータル運用してるでしゅ…来週点検するでしゅ。
ボス来週ではなく、今夜だ。
同じ設定なら、すでに侵害されている可能性すらある。
McGraw Hillの事案は、SaaSの「設定ミス1個で1,350万人分が流出する」という現実を見せつけました。
正規の監査ツールが攻撃者の手で武器化されるパターンは、今後も他のSaaSで再現される可能性が高いと感じます。
ベンダー任せにせず、自社のSaaS設定を継続的に監査する仕組みづくりが、サイバー予算の中で優先順位を上げるべき領域です。
「ログイン情報は漏れていないから安心」ではなく、「PIIが揃った時点で被害は始まっている」と捉える姿勢が必要です。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
