2025年6月、あるグーグル社員はITサポートから定期的と思われる電話を受けた。
電話の相手は自信に満ちた話し方で、プロフェッショナルに聞こえ、完全に合法的であることが伝わってきた。
技術者は従業員に、会社のセールスフォース・システムで新しいアプリを承認するよう頼んだ。
この攻撃で特に印象的だったのは、以下の方法である。 ディープフェイク・オーディオAIが生成した声は非常にリアルで、最も信頼されている認証方法のひとつを悪用した。
しかし、この事件は、企業が現代の脅威に対してどのようにアプローチするかという転機となった。
この事件は シャイニーハンターズグループ攻撃者が人工知能を使って企業システムへの侵入を試みていることを明らかにした。
しかし、セールスフォースと広範なセキュリティ・コミュニティがいかに迅速に顧客保護に動員できるかも実証した。
単なる標的ではなく、セキュリティリーダーとしてのセールスフォース
セールスフォースは、AIを駆使したソーシャル・エンジニアリング攻撃の標的となっているが、同社の対応は、世界中の何百万もの組織にとって、顧客関係管理のバックボーンとして信頼され続けている理由を示している。
Salesforceは企業運営の中心的役割を担っているため、脅威のターゲットになるのは当然だ。しかし、セキュリティの専門家はこれを弱点とは見ていない。
それどころか、このプラットフォームが市場をリードしている証拠であり、企業が深く信頼している証だと考えている。
によると ウィズ・セキュアの脅威インテリジェンス責任者ティム・ウェスト
「Scattered Spiderのようなハッキング・グループは、SaaS環境にアクセスするためにソーシャル・エンジニアリングを展開している。彼らの攻撃は技術的には単純に見えるかもしれないが、だからといって危険度が下がるわけではない。重要なのは、プラットフォームがいかに迅速に対応し、適応するかということだ。
セールスフォースの新たな脅威への迅速な対応
2025年初頭に不審な動きが増加したとき、セールスフォースは被害が拡大するのを待たなかった。
同社は2025年3月に潜在的な攻撃キャンペーンを認め、脅威行為者が従業員を操って悪意のある接続アプリを承認させようとしていると顧客に警告した。
セールスフォース社は、これらの事件は同社のプラットフォーム・アーキテクチャの欠陥に起因するものではないと強調している。
むしろ、どの組織でも遭遇する可能性のある、高度なソーシャル・エンジニアリングの手口の一例だった。
それ以来、同社は業界の新基準となる包括的な防衛策を実施してきた:
防御を強化するため、セールスフォースは接続アプリのハードニングを導入し、新規ユーザーに対してインストールされていない接続アプリを自動的に無効にすることで、攻撃対象領域を大幅に削減した。
これと並行して、同社は以下を実施した。 OAuthフローの制限既知の攻撃パターンに一致する認証プロセスによって確立された接続をブロックする。
このような技術的な対策だけでなく、セールスフォースでは、異常なアプリケーションの承認パターンをリアルタイムで検出するための監視システムを強化し、ソーシャルエンジニアリングの試みを認識する方法について明確で実践的なガイダンスを提供することで、ユーザー教育に投資しました。
2025年8月、Driftアプリを含むSalesloftテクノロジーとのすべての統合を停止しました。
より広いディープフェイクの状況を理解する
ディープフェイクの脅威は、セールスフォースだけにとどまらない。
2024年初頭にエンジニアリング会社アラップで起きた2500万ドルのディープフェイク強盗事件は、あらゆる業界の洗練された組織がこうしたリスクに直面していることを実証した。
最近の調査によると、70%の人が、本物の声とクローン音声を区別する自信がないと答えている。
CrowdStrikeの2025 Global Threat Reportによると、より説得力のあるフィッシングやなりすましを可能にするAIツールによって、音声によるフィッシング攻撃が2024年の前半から後半にかけて442%増加した。
この発見は、セールスフォアだけでなく、業界全体が抱える課題が大きくなっていることを浮き彫りにしている。
組織はディープフェイク攻撃にどのように勝利しているか
大手企業は、ディープフェイクによる攻撃から身を守るには、高度な技術だけでは不十分であることを認識している。
信頼と検証のあり方を完全に見直す必要がある。
組織が身元を確認し、リスクを軽減するためのより強力な方法を模索しているため、ゼロトラスト・コミュニケーションの枠組みはますます一般的になりつつある。
例えば、Beyond IdentityのRealityCheckのようなソリューションは、暗号化されたデバイス認証と継続的なリスク評価に裏打ちされた検証済みIDバッジを提供する。
同様に、Resemble AIのディープフェイク・シミュレーション・プラットフォームを使用している組織では、採用後に成功した攻撃が最大90%減少しています。このプラットフォームは、超リアルなシミュレーションを使用して、脅威を認識し、より効果的に対応できるようにチームを訓練するためです。
現在、先進的なセキュリティ対策では、最初の通信がいかに真正に見えるかにかかわらず、リスクの高いリクエストについてはマルチチャネル検証を重視している。
これらのプロトコルは、Salesforce のプラットフォームセキュリティ強化と組み合わせることで、ソーシャルエンジニアリングに対する強力な防御策となります。
進むべき道検証による信頼
ディープフェイクの脅威の台頭は、サイバーセキュリティの転換期を意味するが、セールスフォースのようなプラットフォームが新たなセキュリティ標準を設定する上で先導的役割を果たす機会も生み出している。
脅威の迅速な検出、顧客との明確なコミュニケーション、迅速なセキュリティアップデート、幅広いセキュリティコミュニティとの強力な連携により、セールスフォースは、企業が新たな脅威に効果的に対応する方法を示しています。
AIが欺瞞を生み出す時代においては、信頼はもはや想定されるものではなく、検証されなければならない。
このことを理解し、適切なツール、プロセス、企業文化に投資する企業は、セキュリティと評判の両方を守るための準備を整えることができる。
同じ信頼性で真偽を確かめたいのであれば、次のことを調べてみてほしい。 トゥルースキャン信頼できるソリューション AIが生成したコンテンツを検出する そして、組織におけるデジタルの信頼の基盤を強化します。