教育コンテンツ大手のMcGraw-Hillが、Salesforceの設定ミス(misconfiguration)に起因するデータ侵害を公式に認めた。同社は「侵害はSalesforceプラットフォーム上でホストされていたウェブページの限定的なデータへのアクセスにとどまり、顧客データベースや内部システムには影響していない」と説明しているが、この発表自体が問題の本質を見誤っている可能性がある。
何が起きたか
攻撃者はMcGraw-HillのSalesforce環境内の設定ミスを悪用し、内部データへの不正アクセスに成功した。悪名高い恐喝グループ「ShinyHunters」は自らのダークウェブポータルでMcGraw-Hillを被害者として公開し、4月14日までに身代金を支払わなければ4500万件ものSalesforceレコードを公開すると脅迫。同社の声明内容とは真っ向から矛盾する主張をしている。
今回の件はMcGraw-Hillだけの問題ではない。同社の声明には「Salesforce環境内の設定ミスに起因する、複数組織に影響を与えた広範な問題の一部」という記述があり、この設定ミスが連鎖的に他組織にも波及している可能性を示唆している。ShinyHuntersはすでに同様の手口でRockstar Games、欧州委員会、Panera Breadなど多数の組織への侵害を確認しており、2026年に入ってからの活動は特に活発化している。
なぜこれが重要か
SaaSを使えば自社インフラの管理から解放されると思い込んでいる組織は多い。しかし今回の事例が示すのは、SaaSを使うことで「設定責任」が消えるわけではないという厳しい現実だ。
Salesforceのような大規模SaaSは非常に柔軟な設定が可能な反面、その柔軟さが「設定ミスの温床」にもなりうる。権限の過剰付与、公開設定になっているエンドポイント、不要なデータの残存——こうした「静かなリスク」は、誰かが攻撃を試みるまで気づかれないことがほとんどだ。
さらに重要なのは、被害組織の多くが「自分のSalesforceアカウントに問題はない」と思っていた点だ。SaaSベンダーのプラットフォームレベルの設定ミスであっても、テナントのデータは侵害されうる。ここに「共有責任モデル」の落とし穴がある。
実務での活用ポイント
Salesforce利用組織が今すぐ確認すべきこと
- Guest Userの権限を棚卸しする: Salesforceの設定ミスの多くは、認証不要のゲストアクセスに対して過剰な権限が与えられていることに起因する。Salesforce Security Health Checkを実行し、スコアを確認する
- 公開エンドポイントの棚卸し: Experience Cloud(旧Community Cloud)などで外部公開しているページが適切なアクセス制御下にあるかを確認する
- データ分類とアクセス制御の見直し: どのデータがどのユーザー・プロファイルから見えているかを定期的にレビューする仕組みを作る
- NHI(Non-Human Identity)の権限管理: Salesforceに接続しているAPIユーザー、統合アカウント、サービスアカウントの権限は最小権限の原則に基づいているか確認する。常時フルアクセスを付与したままのインテグレーション設定は今すぐ見直すべきだ
筆者の見解
「SaaSだから安全」という神話はもう捨てていい。SaaSに移行した組織の多くが、セキュリティ責任もベンダーに丸投げできると誤解しているが、現実にはクラウドの設定責任は常に利用者側にある。
今回の侵害は、ShinyHuntersが「Salesforceの設定ミスを組織横断的に探索している」可能性を示唆している。つまり、特定の組織を狙った標的型攻撃ではなく、設定ミスのある環境を自動的にスキャンして侵入機会を探すという手口だ。これは防御側にとって非常に厄介で、「自分の組織は関係ない」という楽観は通用しない。
NHI(サービスプリンシパル、インテグレーションユーザーなど)の権限管理は、業務自動化の観点からも急務だ。人間の関与を減らして自動化を推進するためにはNHIを正しく使う必要があるが、その管理が雑だと今回のような事件に直結する。「動いているから問題ない」ではなく、「攻撃者の視点で設定を見直す」習慣が、日本のIT現場にもいよいよ必要な時代になっている。
Salesforceを利用している組織は、今週中にSecurity Health Checkを走らせることを強くお勧めする。
出典: この記事は McGraw-Hill confirms data breach following extortion threat の内容をもとに、筆者の見解を加えて独自に執筆したものです。