何が起きたのか

2026年3月10日、SalesforceのCSO(Cybersecurity Operations Center)が緊急警告を発出しました。公開されているSalesforce Experience Cloudサイトに対し、設定ミスを狙った大規模なデータ窃取キャンペーンが進行中であるという内容です。

攻撃を行ったのはShinyHuntersと呼ばれるハッカー集団です。2025年9月頃から活動を開始し、2026年3月時点で300〜400社からデータを窃取したと主張しています。Snowflake、Okta、LastPass、Sony、AMDなど著名企業の名前も挙がっています。

なぜゼロデイなしで侵入できたのか

Salesforce Experience Cloudは、顧客やパートナー向けのポータルサイトを構築するプラットフォームです。未認証のユーザーがFAQの閲覧やフォーム送信を行えるよう、『ゲストユーザープロファイル』という仕組みがあります。

問題は、このゲストユーザーの権限が過剰に設定されていたケースが大量にあったことです。本来は公開情報だけにアクセスを限定すべきところ、顧客データ、取引先情報、社内ケースなどのCRMデータにまでアクセスできる状態になっていました。

ShinyHuntersは、Googleが公開した監査ツール『AuraInspector』を改造し、設定ミスのあるサイトを自動スキャンしてデータを抽出するツールに変えました。認証情報は不要。ブラウザからアクセスできるAPIエンドポイントを叩くだけでデータが返ってくる状態でした。

ゼロデイもマルウェアもフィッシングも不要。設定ミスがインターネット上に放置されていれば、誰が最初に見つけるかの問題でしかない。

Salesforceの公式見解

Salesforceは『これはプラットフォームの脆弱性ではなく、顧客側の設定ミスである』と明言しています。Experience Cloudのゲストユーザー権限が過剰に設定されていたことが原因であり、顧客側で権限を見直す必要があるという立場です。

Salesforceは以下の対策を推奨しています。ゲストユーザーの権限を最小限に制限すること、外部ユーザーの共有設定をデフォルトで『非公開』にすること、ゲストユーザーのAPI利用を無効化すること、セルフ登録機能が不要なら無効にすることです。

これはSalesforceだけの問題ではない

この事件の本質は『公開設定のまま放置されたサイトが自動的に発見・搾取される』という構造です。これはSalesforceに限りません。

  • CMSの管理画面が認証なしで外部公開されている
  • テスト環境や開発環境が本番と同じドメインで公開されている
  • セキュリティヘッダーが設定されておらずクリックジャッキング等のリスクがある
  • 古いSSL/TLSプロトコルが有効なまま放置されている
  • APIエンドポイントが認証なしでアクセスできる
  • エラーメッセージがサーバ内部情報を露出している

攻撃者はGoogleの検索やShodan等のツールで、設定ミスのあるサイトを日常的にスキャンしています。設定ミスは『見つけられるかどうか』ではなく『いつ見つけられるか』の問題です。

まず確認すべきこと

自社サイトが外部からどう見えているかを定期的に確認することが最も基本的な対策です。セキュリティヘッダー、SSL/TLS設定、公開されているエンドポイント、管理画面のアクセス制御を外部視点でチェックしてください。

Web検診では、セキュリティヘッダー、SSL/TLS設定、公開情報の露出を含む無料のサイト診断を提供しています。

出典

Salesforce Ben: https://www.salesforceben.com/salesforce-hacks-2026-everything-we-know-so-far/

The Register: https://www.theregister.com/2026/03/09/shinyhunters_claims_more_highprofile_victims/

Valence Security: https://www.valencesecurity.com/resources/blogs/salesforce-experience-cloud-active-data-theft-campaign

Security Magazine: https://www.securitymagazine.com/articles/102198-10-data-security-stories-to-know-about-march-2026