脅威アクターがSalesforce Experience Cloudを大規模スキャン

セールスフォースは、公開アクセス可能なExperience Cloudサイトの誤設定を悪用する脅威アクターの活動が増加していると警告しました。この活動は、オープンソースツールであるAuraInspectorのカスタマイズ版を使用しています。

セールスフォースによると、脅威アクターは、顧客のゲストユーザー設定が過度に許容的な場合、機密データへのアクセスを取得するため、このツールを改変して使用しています。

AuraInspectorは、セールスフォースのAuraフレームワーク内のアクセス制御の誤設定を特定し、監査するためのオープンソースツールです。このツールは、2026年1月にGoogle所有のMandiantによってリリースされました。

公開アクセス可能なセールスフォースサイトは、ゲストユーザーのプロファイルを使用して、未認証のユーザーがランディングページ、FAQ、および知識記事にアクセスできるようにしています。しかし、このプロファイルが過度な権限を持つ場合、未認証のユーザーが意図しないデータにアクセスできる可能性があります。

セールスフォースの対応

セールスフォースは、この活動がセールスフォースプラットフォームに内在する脆弱性とは無関係であると述べています。しかし、適切に保護されていない場合、顧客の設定が攻撃者の攻撃を増幅させる可能性があります。

セールスフォースは、顧客がゲストユーザー設定をレビューし、すべてのオブジェクトのデフォルトの外部アクセスをプライベートに設定し、ゲストユーザーが公開APIにアクセスできないようにするなどの措置を推奨しています。

この脅威アクターの活動は、「IDベース」のターゲティングの広がる傾向を反映しています。これらのスキャンで収集されたデータは、名前や電話番号など、その後のターゲット指向のソーシャルエンジニアリングや「ボイスフィッシング」キャンペーンに使用される可能性があります。

元記事: https://thehackernews.com/2026/03/threat-actors-mass-scan-salesforce.html