Salesforceの情報漏洩､攻撃されたのは製品を扱う別の企業…《｢間接侵入｣にみる教訓とは》クラウドの"安全性"は利用する企業の使い方次第

（写真：Kenneth Cheung／gettyimages）

2025年秋、世界の企業社会を揺るがす出来事が起きた。アメリカのCRM（顧客関係管理）ソフト大手、セールスフォース（Salesforce）のクラウド環境を利用していた複数の企業から、膨大な量の顧客データが流出したと報じられたのである。

サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら

犯行グループの主張では「10億件以上の顧客データを入手した」と脅迫し、オーストラリアのカンタス航空をはじめとする複数企業に対して身代金を要求した。被害の一部は実際にダークウェブ上で公開され、明確に身代金の要求を拒否したカンタス航空に対しては570万人分の個人情報がダークウェブ上で公開された。

複数の企業には国内企業も含まれ、トヨタや富士フイルムの名前が見られる。この事件は、クラウド時代における情報セキュリティのもろさを改めて突きつけた。

“Salesforceが攻撃された”わけではない

まず確認しておきたいのは、今回の攻撃がSalesforce本体のシステム侵入によるものではないという点である。Salesforceは声明の中で、「自社のプラットフォームに侵害の痕跡はなく、原因は顧客組織の設定・運用体制にある可能性が高い」と明言した。