Salesforceの情報漏洩､攻撃されたのは製品を扱う別の企業…《｢間接侵入｣にみる教訓とは》クラウドの"安全性"は利用する企業の使い方次第

実際にサイバー攻撃の標的となったのは、Salesforce製品群を利用して営業支援を行うセールスロフト（Salesloft）社などの連携事業者であったとされる。

つまり今回の漏洩は、クラウド本体の脆弱性ではなく、クラウドを取り巻くサプライチェーンの接続部分が突かれた“間接侵入”、いわゆるサプライチェーン攻撃の典型例なのである。

攻撃グループは、数カ月にわたる潜伏の末、関連企業のアクセス権限を不正に入手し、そこからSalesforce環境の一部に正規ルートで入り込んだとみられる。この種の攻撃は、従来の不正アクセス対策では防ぎようがない。

なぜなら、攻撃は外部からの「不正アクセス」ではなく、「正当な認証を経た内部操作」として行われるからだ。

連鎖する被害「クラウド依存社会」の現実

クラウドを使わない企業は、もはや存在しないといってよい。顧客管理から会計、人事システムまで、大小を問わずあらゆる業務がクラウドを基盤として動いている。その一方で、ひとたびクラウドに障害が起これば、社会全体に影響が波及する。

この連鎖性こそが、現在の企業経営における最大のリスク要因となっている。記憶に新しいのが、2025年10月に発生したAWS（アマゾン・ウェブ・サービス）のシステム障害だ。わずか数時間の障害であったにもかかわらず、影響はアメリカを中心に2,500社以上におよび、復旧に丸一日を要した企業もあった。

世界のクラウド市場の約3分の1をAWSが占め、Microsoft AzureとGoogle Cloudを加えれば全体の6割を超える。この“ビッグ3”に依存する構造そのものが、新しいインフラリスクを形成しているのである。

国内でも同様だ。スターバックスが利用していた勤怠管理システムのベンダーがランサムウェア攻撃を受け、北米では給与支払いが遅延、国内でも従業員情報3万人分が流出した。また、社労士向けクラウド「社労夢（Shalom）」がランサムウェアに感染した事件では、復旧に約1カ月を要し、給与計算に支障が出た労働者は800万人を超えたとされる。

これらはいずれも、クラウド障害が単なる技術トラブルではなく、企業活動そのものを止める“経営危機”になりうることを示している。