チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「Salesforceの設定ミスで1350万人のデータが流出するなんて、何が起きたの?」
「日本企業もSalesforceは使ってるけど、自社は大丈夫?」
チップスボス、ShinyHuntersってあの常連さんでしゅよね…McGraw Hillまでやられたんでしゅか?
ボスふふふ。McGraw Hillだけじゃない。同じ手口で300〜400社が侵害されている。
正規ツールを武器化した、巧妙な「設定ミス狙い」キャンペーンだ。
2026年4月14日、教育大手McGraw HillがSalesforce環境の設定ミスを起点に1,350万件の個人情報が流出したことを認めました。
身代金交渉が決裂し、ShinyHuntersはリークサイトに100GB超のデータを公開。
本記事では同社の事例から見える、Salesforce Experience Cloudを取り巻く広範な攻撃キャンペーンの実態と、自社で確認すべきポイントを解説します。
SaaS設定ミスは「自社の責任範囲」のグレーゾーンに落ちやすい論点です。
本稿で攻撃者側の視点を理解すれば、自社のSalesforce運用を即見直せます。
オススメ案件
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
【金融機関向けAVD・Zscaler導入】フルリモート/アーキテクチャ策定・上流設計支援
【認証基盤統合プロジェクト】東京・八王子(リモート併用)/Entra ID・SSO統合・稼働50%~
【CyberArk検証環境構築】東京・豊洲/本番導入に向けた検証・手順作成支援
McGraw Hillの公式声明と、リークされたデータの実態には認識のズレがあります。
そのズレに、SaaS時代の事故の特徴が表れています。
McGraw Hillは「コアな顧客DBや教材システムは無事で、影響は限定的」と発表しました。
一方ShinyHuntersは身代金支払い拒否を受けて100GB超を公開し、Have I Been Pwnedにも1,350万件として登録されています。
漏洩した情報は以下のとおりです。
| 漏洩データ | 件数・状況 |
|---|---|
| 氏名・メールアドレス・電話番号・住所 | 約1,350万件 |
| パスワード・金融情報 | 含まれず |
| 侵害経路 | Salesforceホストの特定ウェブページ |
| 主たる二次被害リスク | スピアフィッシング、なりすまし |
引用元: BleepingComputer
チップスパスワードは入ってなくても、氏名と電話と住所が揃ったら、なりすましし放題でしゅ…
ボスそう。攻撃者にとっては「素材」が手に入ればいい。
後はAIで個別のフィッシングメールを量産すれば、クリック率は跳ね上がる。
McGraw Hillは単独の被害者ではありません。同じ脆弱な設定を持つ企業が世界中で標的になっています。
ShinyHuntersは2025年9月以降、Salesforce Experience Cloudのゲストユーザー権限が過剰に設定された企業を狙い続けてきました。
2026年1月にはGoogle傘下Mandiantが公開した正規監査ツールAuraInspectorを攻撃用に改造。
未認証のAuraエンドポイントから内部オブジェクトを抽出する手法で、合計300〜400社が侵害されたと推定されています。
引用元: Salesforce Ben
「ベンダー側の責任」と切り分けてしまうと、設定ミスは見つかりません。
共有責任モデルを意識した点検が必要です。
優先度の高いチェックポイントは以下のとおりです。
引用元: FINRA Cybersecurity Alert
チップスうちもExperience Cloudで顧客ポータル運用してるでしゅ…来週点検するでしゅ。
ボス来週ではなく、今夜だ。
同じ設定なら、すでに侵害されている可能性すらある。
McGraw Hillの事案は、SaaSの「設定ミス1個で1,350万人分が流出する」という現実を見せつけました。
正規の監査ツールが攻撃者の手で武器化されるパターンは、今後も他のSaaSで再現される可能性が高いと感じます。
ベンダー任せにせず、自社のSaaS設定を継続的に監査する仕組みづくりが、サイバー予算の中で優先順位を上げるべき領域です。
「ログイン情報は漏れていないから安心」ではなく、「PIIが揃った時点で被害は始まっている」と捉える姿勢が必要です。
オススメ案件
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
【金融機関向けAVD・Zscaler導入】フルリモート/アーキテクチャ策定・上流設計支援
【認証基盤統合プロジェクト】東京・八王子(リモート併用)/Entra ID・SSO統合・稼働50%~
【CyberArk検証環境構築】東京・豊洲/本番導入に向けた検証・手順作成支援
