主なポイント

✓ 脅威アクターは、改造したAuraInspectorツールを使用してSalesforceのExperience Cloudサイトを大規模にスキャンしています。
✓ Salesforceは、顧客に対してゲストユーザー設定の見直しを推奨し、過剰な権限を持つ設定を修正するよう呼びかけています。

社会的影響

! この攻撃は、個人情報の漏洩を引き起こし、社会的な信頼を損なう可能性があります。
! データが悪用されることで、ターゲットを絞ったソーシャルエンジニアリングや音声フィッシングのキャンペーンが増加する恐れがあります。

編集長の意見

今回のSalesforceに対する脅威アクターの活動は、特に設定ミスを狙った攻撃の増加を示しています。多くの企業がクラウドサービスを利用する中で、適切な設定がなされていない場合、攻撃者にとって格好の標的となります。特に、ゲストユーザーの設定が過剰な権限を持つ場合、攻撃者は容易に機密情報にアクセスできる可能性があります。これにより、企業は顧客データの漏洩や、さらなる攻撃のリスクにさらされることになります。企業は、Salesforceの推奨設定に従い、ゲストユーザーのアクセス権限を厳格に管理する必要があります。また、定期的な設定の見直しや、ログの監視を行うことで、異常なクエリを早期に発見し、対策を講じることが重要です。今後、クラウドサービスの利用が進む中で、セキュリティ対策の強化が求められるでしょう。特に、データの保護とアクセス管理は、企業の信頼性を維持するために不可欠です。したがって、企業はセキュリティ教育を徹底し、従業員が適切な設定を理解し、実施できるようにすることが求められます。

解説

改造AuraInspectorでExperience Cloudが一斉スキャン——“ゲスト権限”のほころびがSaaSデータ漏えいの最短距離です

今日の深掘りポイント

これはゼロデイではなく「設定ミスの量産リスク」です。SaaSの権限・共有モデルの一段の可視化と継続監査が問われます。
ツール化されたスキャンにより「認証なしで到達できる面」が一気に可視化され、攻撃コストが劇的に低下しています。WAFやレート制御など周辺対策の価値が再評価されます。
影響半径は自社の組織境界を越えます。取引先・委託先のExperience Cloud誤設定でも自社データが漏れる供給網型リスクです。
検知は難しいが不可能ではありません。未認証の/aura系エンドポイントへの高頻度アクセス、異常なレスポンス量、地理的異常など「SaaS特有のテレメトリ」を組み合わせると兆候を捕捉できます。
緊急度と実行可能性が高い案件です。48時間でできる暫定防御と、今四半期でやるべき構造的対策を分けて設計すべきです。

はじめに

Salesforceは、公開状態のExperience Cloudサイトでのゲストユーザー権限の誤設定を突く大規模スキャンが進行中であると注意喚起しています。報道によれば、攻撃者は本来は誤設定検出向けのオープンソースツールAuraInspectorを改造し、未認証でも到達可能なエンドポイントを横断的に叩いてデータ抽出まで自動化しているとされています。Salesforceは、外部公開データのデフォルトをプライベートに戻すこと、ゲストユーザーのAPIアクセスを無効化することなど、権限・共有モデルの是正を強く推奨しています。The Hacker Newsの報道は、攻撃者側が「数百社の侵害」を主張しているとも伝えていますが、これは自己申告ベースであり未検証である点に注意が必要です。

本件の本質は、SaaSの“正規機能の誤用”です。ミスコンフィグという面倒な現実と、攻撃のツール化・自動化が出会ったとき、どのくらい早くどれだけの面を締め直せるかが勝負になります。緊急の応急措置と、恒久的な統制づくり——両輪で考えるべき局面です。

深掘り詳細

事実関係（報道とベンダーの注意喚起）

攻撃者は改造版のAuraInspectorで公開中のExperience Cloudサイトを横断的にスキャンし、誤設定を悪用してゲストユーザーに過剰な権限が与えられている組織を探索しています。目的は未認証で機密データにアクセスすることです。
Salesforceは、外部アクセスのデフォルトをプライベートに設定すること、ゲストユーザーのAPIアクセスを無効化すること、ゲスト権限の見直しを行うことを推奨しています。
報道では攻撃者が“数百社の侵害”を主張していますが、第三者による検証は示されていません。
以上はいずれも公開報道に基づく情報で、現時点で入手可能な一次資料は限定的です。参考: The Hacker Newsです。

編集部インサイト（なぜ今広がるのか、どこが痛点か）

誤設定の「ツール化・商品化」による規模効果です。従来は手作業で見つけるしかなかった誤設定の可視化・抽出が、OSSと軽い改造で“インターネット規模”に拡張されつつあります。SaaS Misconfigurationは、もはや「個別不注意の事故」ではなく「攻撃面」と捉えるべきフェーズです。
Experience Cloudのゲストは「認証なしで到達可能」な設計のため、誤設定があると外周のネットワーク防御を素通りします。結果としてEDRの可視化対象外で、SIEMやCASBに“入ってこないログ”が増え、検知の盲点になりやすいです。
供給網リスクの姿を取ります。自社が正しく締めていても、パートナーのポータルに自社データが格納されていれば、そちらの誤設定から漏えいする可能性があります。調達・契約・法務を巻き込んだSaaS権限の外部委託統制が必須です。
メトリクス観では、緊急性・実行可能性・発生確率が相対的に高い類型です。幸い、暫定対処は設定変更中心で即日対応できる一方、中長期は「継続的に誤設定が生まれない運用設計」まで踏み込まないと再発します。現場は“今すぐ閉じる栓”と“二度と開かない仕組み”を並走させるべきです。

脅威シナリオと影響

以下は、公開報道と一般的なSaaS攻撃潮流から組み立てた仮説シナリオです。実環境への当てはめは自組織の設定とログで検証してください。

シナリオA：未認証データ収集と二次不正利用
- 手口: 改造ツールで公開Experience Cloudを自動巡回し、ゲストで到達できるAura/RESTエンドポイントを叩いて顧客・案件・ケースの一部フィールドを収集します。
- その後: 収集データを使い、標的型フィッシング、音声詐欺、BECの足場を構築します。データそのものを材料に「身代金なき恐喝」も想定されます。
- 影響: 個人情報・商談情報の漏えい、ブランド毀損、監督当局への報告・罰則、訴訟リスクです。越境データ移転を伴う場合、域外移転の適法管理にも波及します。
シナリオB：設定の取り違えを突いた“権限の飛び越え”
- 手口: 誤って広いオブジェクト/フィールド権限がゲストに付与、あるいはコンポーネント側で権限・共有の検証不足があると、正規UI外からAPI/Aura経由でレコードを直接引き抜かれます。
- 影響: 内部UIでは見えない粒度で抽出されるため、ユーザーの体感と実際の曝露面が乖離し、事後判断が難しくなります。
シナリオC：サプライチェーンからの逆流出
- 手口: 取引先のExperience Cloudで自社レコードが共有されている場合、そちらの誤設定から漏えいし、自社の監視範囲外で拡散します。
- 影響: 第三者起因でも本人通知・公表・当局報告の主体が自社になるケースがあり、BCP/PR/法務の同時稼働が必要になります。

MITRE ATT&CK（近似的マッピング、仮説）

Reconnaissance
- T1595 Active Scanning（特にT1595.002 Vulnerability Scanning）です。公開サイトを自動走査し、誤設定の痕跡を探索します。
- T1580 Cloud Infrastructure Discoveryです。標的組織のSaaS表面（Experience Cloudドメイン）を洗い出します。
Resource Development
- T1587.002 Develop Capabilities: Toolです。OSSツールを改造・武器化して量産運用します。
Initial Access（機能悪用に近い）
- T1190 Exploit Public-Facing Applicationの近似です。厳密には脆弱性利用ではなく誤設定の正規機能悪用ですが、初期到達点として公知の分類に寄せています。
Collection
- T1213 Data from Information Repositories（SaaS内リポジトリからのデータ取得）に相当する動作が想定されます。
Exfiltration
- T1567 Exfiltration Over Web Serviceの近似です。アプリ正規のWebレスポンス経由でデータを持ち出すため、専用C2を伴わない軽量な流出になります。

上記のATT&CKは性質上の近似で、SaaS誤設定の濫用はフレームワークに完全にフィットしない部分があります。検知・対策設計では、このグレーゾーンを意識してテレメトリの拾い方を工夫する必要があります。

セキュリティ担当者のアクション

いまから48時間以内（暫定対処）
- すべてのExperience Cloudサイトの棚卸しを実施します。自社が保有する*.force.com / *.my.site.com / *.sfsites.net配下の公開面を洗い出します。
- 外部アクセスのデフォルトをプライベートに設定します。必要最小限の共有だけを個別に許可します。
- ゲストユーザープロファイルからAPIアクセス権限を外します。不要なオブジェクト権限・フィールド権限・権限セット（グループ）を外します。
- WAF/CDNで/auraおよび/s/sfsites配下への未認証トラフィックをレート制御し、国・ASNベースの制限を暫定適用します。ビジネス影響が出ない範囲で段階的に強めます。
- 直近7〜14日のアクセスログ（Salesforce Event MonitoringがあればURI/RESTイベント）で、未認証アクセスの急増、レスポンスサイズの異常、短時間の高頻度アクセスを緊急スクリーニングします。ユーザーエージェントは容易に偽装されるため過信しないほうがよいです。
今週中（是正・検知の土台づくり）
- ゲストユーザーに紐づくすべてのオブジェクト・フィールドの権限レビューを実施します。必要最小限に絞り、暫定で不要権限は“落としてから”例外申請で戻す運用に切り替えます。
- 公開コンポーネント／Apexエンドポイントの棚卸しを行い、アクセス制御と権限チェックの有無を確認します。共有ルール・FLS/CRUDの検証をコード側でも強制する方針に転換します（仮説に基づく一般的な推奨です）。
- SIEMにSaaS特有の検知ルールを追加します（仮説の検知例）:
  - 未認証の/aura（含む/s/sfsites/aura）エンドポイントへの短時間多発アクセス
  - 単一IPからの高カーディナリティなアクション名・パラメータ列
  - 200系で大きなレスポンスボディが連続する事象
  - 地理的に通常分布から外れた参照元AS（例: 事業展開地域外）
- 取引先・委託先にExperience Cloudの外部公開・ゲスト権限ポリシーの自己点検・是正を依頼します。越境データ移転・委託先管理の観点で、契約上のセキュリティ条項に基づく確認を進めます。
今四半期（恒久対策・ガバナンス）
- SaaS全体の権限・共有モデルの標準基準（組織外公開のデフォルト禁止、最小権限原則、例外の有期化）を策定し、承認フローに組み込みます。
- CI/CDにメタデータ・設定の静的検査を組み込み、公開コンポーネント・@AuraEnabledメソッドの権限検証の有無をゲート化します（セキュアコーディングのガードレール化）。
- SalesforceのEvent Monitoring/Transaction Security等の監視基盤を強化し、SaaSテレメトリをSIEM/UEBAに統合します。ログ保管期間と検索性を見直し、過去分の追跡可能性を担保します。
- 重要オブジェクトのデータ分類とDLPポリシーを見直し、Experience Cloudに共有され得るデータは最小化・仮名化・マスキングを標準にします。
- インシデント対応手順をSaaS前提に改訂します。未認証アクセス経由の流出を想定し、被疑期間の確定、対象レコードの特定、本人通知・当局報告の判断基準を明文化します。

参考情報

The Hacker News: Threat Actors Mass Scan Salesforce Experience Cloud Using Modified AuraInspector Tool（報道ベース。一次資料の公開は限定的です）: https://thehackernews.com/2026/03/threat-actors-mass-scan-salesforce.html

本件は“設定を直せば終わり”に見えて、実は“直してもまた出る”類の問題です。SaaSはアプリケーションと運用の境界で強くなります。現場のスピード感を損なわずに、最低限の安全柵をどう標準化するか——それがCISOとSOCに求められる腕の見せどころです。今できることから確実に積み上げていきます。

背景情報

i AuraInspectorは、Salesforce Auraフレームワーク内のアクセス制御の設定ミスを特定するために設計されたオープンソースツールです。2026年1月にGoogle傘下のMandiantによってリリースされました。このツールは、APIエンドポイントをプローブすることで脆弱なオブジェクトを特定することができますが、脅威アクターはこのツールを改造し、データを抽出する能力を持たせています。
i SalesforceのExperience Cloudでは、ゲストユーザープロファイルが使用され、認証されていないユーザーが特定の情報にアクセスできるようになっています。しかし、設定が不適切な場合、攻撃者はこのプロファイルを利用して、ログインせずにSalesforce CRMオブジェクトに直接クエリを実行することが可能になります。

メトリクス