チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「電話一本で会社が侵害されるって本当でしゅか?」
「Salesforceみたいな大手SaaSなら大丈夫じゃないの?」
チップスボス、不動産大手のCushman & Wakefieldがやられたって、また50万件レベルでしゅか?
ボスそう、しかも入口は「電話越しのなりすまし(ビッシング)」だ。SaaSの認証情報が、クラウド時代の最前線になっているんだ。
2026年5月、不動産大手Cushman & Wakefieldが、ビッシング(音声フィッシング)を起点とするサイバー攻撃を受けたことを公表しました。
本記事では、攻撃の経緯、被害規模、ShinyHuntersとQilinによる二重脅迫の構図、そして日本企業がSaaS時代に取るべき対策を解説します。
このまま読み進めれば、ShinyHuntersの最新Salesforce攻撃キャンペーンの全体像と、自社で打てる現実的な対策が分かります。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
世界トップクラスの不動産大手にも、電話越しの社会工学的攻撃が突き刺さりました。
Cushman & Wakefieldは、社員を狙ったビッシング攻撃により認証情報を盗まれ、その認証情報を使ってSalesforce環境に侵入された、と公表しました。
同社は侵入を確認後、すぐに対応プロトコルを起動し、第三者専門家を招いてフォレンジック・封じ込めを実施しています。
主な事実関係は以下のとおりです。
| 項目 | 内容 |
|---|---|
| 侵入経路 | 社員へのビッシング |
| 侵害先 | Salesforce環境 |
| 窃取主張 | 50万件超レコード/50GB相当 |
| 関係グループ | ShinyHunters、Qilin |
チップス50万件って、企業全体の取引履歴がまるごとなくしゅよね……
ShinyHuntersは5月1日付けで攻撃を主張し、5月6日を期限に身代金を要求しました。
同社が応じなかったため、ShinyHuntersは約50GBのデータセットをリークサイトに公開しています。
加えて、別のランサムウェアグループQilinも5月4日にCushman & Wakefieldをリークサイトに掲載しており、同一被害企業に対する複数グループからの脅迫が併発する構図が浮かびます。
ShinyHuntersは過去にもSalesforce周辺を中心に大規模窃取を続けており、SaaSが新しい主戦場であることが明確になっています。
クラウドの普及により、機密情報の多くが社外SaaSに集約されました。攻撃者にとっては「社員1人の認証情報」が大量データへのチケットになるため、社会工学攻撃の費用対効果が極めて高くなっています。
近年Salesforceを狙う攻撃は、設定ミスを突くものから、社員へのビッシング・SMSフィッシングを起点とするものへと進化しています。
SaaS環境を狙う典型的な手口は以下のとおりです。
SaaS窃取攻撃の対策は、ID管理・社員教育・SaaS監視の3層で組み立てるのが効果的です。
限られたリソースで効果が大きい打ち手は以下のとおりです。
チップス電話に出ない、っていうのは難しいでしゅから、訓練が大事でしゅね……
ボスその通り。「ヘルプデスクを名乗る電話には絶対パスワードを言わない」が社内ルールとして浸透しているか、まずそこから確認しろ。
Cushman & Wakefieldの侵害は、ビッシングという古典的な手口でSaaS上の大量データが盗まれる現実を改めて示しました。
Salesforceなどクラウドサービスを業務の中核に据える日本企業も、認証強化・社員教育・SaaS監視の3点セットを欠かせません。
パスキー導入、API監視、ビッシング訓練、第三者アプリ棚卸しの4本柱で、SaaS時代の防御を底上げしましょう。
参考:Cybernews「ShinyHunters posts 50GB Cushman & Wakefield dataset」
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
