Salesforce環境の設定不備でMcGraw Hill等のデータが外部アクセス可能に ー ShinyHuntersが恐喝

インシデントの概要

2026年4月、教育出版大手McGraw Hillを含む複数の大手企業において、Salesforce環境の設定不備（ミスコンフィギュレーション）に起因するデータセキュリティインシデントが発覚しました。

McGraw Hillの公式見解

• Salesforceプラットフォーム上のWebページの設定不備により、限定されたデータに外部からアクセス可能な状態だった
• 複数の会社に影響するSalesforceの広範な問題の一部であると認識
• Salesforceのアカウント、顧客データベース、教材・コースウェアへの不正アクセスはなし
• 漏洩情報は「範囲が限定的」で「非機密」。SSN、金融口座情報、学生データは含まれない

ShinyHuntersの恐喝

• 著名な恐喝グループShinyHuntersが犯行を主張
• 4500万件のSalesforceレコード（PII含む）を窃取したと主張
• 4月14日までに身代金を支払わなければデータを公開すると通告
• このNissan主張はMcGraw Hillの公式見解と大きく食い違っている

情報出典: BleepingComputer 報道、TechRadar 報道、The Record by Recorded Future 報道、Security Magazine 報道

なぜこのインシデントが起きたのか ー 根本原因

クラウドの「責任共有モデル」の理解不足

1. Salesforce上のWebページの公開設定ミス: Salesforce Communities（Experience Cloud）でホストされるページのゲストユーザー権限設定が過剰に開放されていた可能性。この設定ミスにより、認証なしで内部データにアクセスできてしまう
2. 責任共有モデルの誤解: 「Salesforceだから安全」という思い込みがあった可能性。インフラのセキュリティはSalesforceが担保するが、データのアクセス権限設定は利用企業の責任
3. 設定変更の監査不足: 組織の成長やカスタマイズに伴う設定変更が、セキュリティ観点でレビューされずに蓄積されていた

クラウド環境のセキュリティを確保するために

1. Salesforce Health Checkの定期実施

Salesforceには組み込みのHealth Check機能があり、セキュリティ設定を一覧して推奨値との乖離を確認できます。四半期に1回は実施しましょう。

2. ゲストユーザー権限の緊急点検

Salesforce Experience Cloud（旧Communities）を利用している場合、ゲストユーザーがアクセスできるオブジェクト・フィールドを直ちに確認し、不要なアクセス権限を削除しましょう。

3. CSPM（Cloud Security Posture Management）ツールの導入

Salesforceを含むSaaS環境の設定を常時監視し、ベストプラクティスからの逸脱を自動的に検知・通知するCSPMツールの導入が効果的です。

4. クラウドペネトレーションテストの実施

クラウド環境特有の攻撃ベクトル（ゲストユーザーアクセス、API権限の昇格、OAuthフローの悪用等）を対象としたペネトレーションテストにより、運用中の設定ミスを攻撃者の視点で発見できます。

5. アクセスログの継続監視

SalesforceのEventLogFileやShield Event Monitoringを活用し、異常なデータアクセスパターン（大量のレコード取得等）を検知する仕組みを構築しましょう。