企業向け人事管理プラットフォーム「Workday」は、ソーシャルエンジニアリング攻撃を受け、第三者のCRMシステムを通じて大量の企業連絡先情報が流出したことを公式に発表しました。流出した情報には、氏名、メールアドレス、電話番号などが含まれます。Workdayは、ユーザーに対して、外部に漏れた情報を悪用した詐欺やソーシャルエンジニアリング攻撃に十分注意するよう注意を呼びかけています。
Workday、攻撃事件とデータ流出を公式確認
最近、グローバルなHRソフトウェア大手「Workday」(企業向け人事・財務管理プラットフォーム提供)が、ソーシャルエンジニアリング攻撃により、第三者CRMプラットフォーム「Salesforce」の一部データが流出したことを公式に発表しました。Workdayの顧客リストには11,000を超える組織が含まれ、そのうち60%以上はフォーチュン500企業です。
テクノロジーメディア「Bleeping Computer」によると、この事件は最近のSalesforceデータベース大規模侵入事件と関連しており、Adidas、Google、カンタス航空、Chanel、Louis Vuittonなど複数の国際的企業が被害を受けたことが報告されています。
攻撃は2025年8月6日に発生しました。攻撃者はWorkdayの従業員にSMSや電話で接触し、人事部やIT部門の担当者を装って、アカウントアクセス権限や個人情報を引き出そうとしました。この手口により、Salesforce上に保存されているWorkdayのデータへアクセスしたと考えられます。
Workdayは8月15日に公式ウェブサイトで声明を発表し、「顧客テナントやコアデータへの侵入は確認されていない」としつつも、今回の攻撃により氏名、メールアドレス、電話番号などの「一般的なビジネス連絡先情報」が大量に流出したことを明らかにしました。公式声明の内容は以下の通りです:
「最近、Workdayを含む複数の大規模組織を対象としたソーシャルエンジニアリング攻撃が確認されました。Workdayは攻撃対象となり、第三者CRMプラットフォーム上の一部情報にアクセスされました。現時点では、顧客テナントやそのデータにアクセスされた兆候はありません。攻撃者が取得した情報は、氏名、電子メールアドレス、電話番号など、一般的なビジネス連絡先情報が中心です。」
Workdayは、流出した情報がさらに別のソーシャルエンジニアリング詐欺に利用される可能性が高いため特に、企業に対して注意を注意を呼びかけています。
一方で、Redditのユーザーによると、Workdayは流出情報を発表した公式ページのHTMLコードに「noindex」タグを設定しており、検索エンジンによるインデックス登録を阻止していました。この対応はブランドイメージ保護のためと見られる一方で、情報拡散を意図的に抑制しているのではないかとの懸念も生まれています。
ソーシャルエンジニアリング攻撃とは?
Workdayのデータ流出事件では、攻撃者が成功した原因は従来の「技術的な脆弱性」ではなく、ソーシャルエンジニアリング(Social Engineering)攻撃にありました。この手法の核心は、システムそのものを直接攻撃することではなく、「人間の心理」を利用する点にあります。欺瞞や操作、誘導を通じて、ユーザーが無意識のうちに重要情報やアクセス権限を提供してしまうのです。
具体例としては、攻撃者がIT部門や人事部の担当者を装い、社員に電話やメールで連絡を取り、リンクをクリックして一見正常に見えるアプリを承認するよう求めます。実際にはこれは悪意のあるOAuthアプリであり、攻撃者はこれを通じてシステムへの正規アクセス権を不正に取得します。
ユーザーと企業が直面する可能性のある3つのソーシャルエンジニアリング詐欺手法
流出した「氏名・電話番号・メールアドレス」は一見平凡に見えますが、まさにソーシャルエンジニアリング攻撃の燃料となります。これらの情報をもとに、攻撃者はより精度の高いフィッシングメールを送信したり、説得力のある詐欺電話をかけたりすることが可能です。
例えば、「社内ITサポート」からの電話を装い、被害者の氏名や部署、直属上司の名前まで正確に伝えられれば、受け手はそれを内部連絡だと誤認してしまいやすくなります。
1. より精密なフィッシングメール(Phishing 2.0)
従来のフィッシングメールは、文章の不自然さや差出人アドレスの不審さから容易に見破られることが多くありました。しかし、攻撃者がユーザーの氏名、勤務先、部署、役職などの情報を把握すると、個々に合わせた「カスタマイズされた」フィッシングメールを作成することが可能になります。
例えば、「Workdayセキュリティ認証通知」という件名で、差出人アドレスやフォーマットを公式サイトに似せ、正確にあなたの名前で呼びかけるメールが届いた場合、被害者がクリックしてしまう可能性は大幅に高まります。
2. 会社の人事・ITサポートを装った電話
データ流出後、攻撃者は直接電話をかけ、人事部やIT部門の担当者を装い、社員に「認証手続き」や「システム更新のサポート」を求めることがあります。相手が正確に氏名や所属部署を伝えられるため、受け手はその真偽を疑いにくくなります。
このような音声による詐欺(Vishing)は金融業界では既に一般的ですが、近年では企業向けSaaSプラットフォームの環境にも徐々に浸透しています。
3. ビジネスメール詐欺(Business Email Compromise, BEC)
攻撃者がさらに上司や取引先、パートナーを装うことができれば、ビジネスメール詐欺(BEC)につながる可能性があります。典型的な手口には、上司を装って部下に送金を指示したり、偽の請求書を送り支払いを求めたり、取引先になりすまして振込先口座を変更させたりするケースがあります。
これらの詐欺が成功するのは、攻撃者が十分な実在情報を持ち、それを隠れ蓑として利用できるためです。
企業がソーシャルエンジニアリング詐欺の被害に遭わないために
1. 従業員のセキュリティ教育を強化
ソーシャルエンジニアリング攻撃で最も多い突破口は従業員です。企業は定期的にフィッシング演習や情報セキュリティ意識向上トレーニングを実施し、従業員が不審なメールや電話を見分けられるようにすることが重要です。
2. 第三者アクセスの厳格な管理
Workday事件は、コアプラットフォーム自体は安全でも、第三者との統合ポイントが弱点になり得ることを示しています。
- すべてのサードパーティアプリに最小権限(Least Privilege)を適用
- OAuthやAPI権限を定期的に監査
3. 多要素認証(MFA)の導入
企業システムがユーザー名とパスワード、あるいは単純な二要素認証だけでアクセス可能な場合、攻撃者はソーシャルエンジニアリングを利用して容易にシステム権限を取得できてしまいます。多要素認証(MFA)を導入することで、従業員の認証プロセスをより強固にできます。例えば、指紋認証や地理的位置、デバイス認証を組み合わせる方法があります。
Keypascoの多要素認証(MFA)は、リーセックデジタルテクノロジー社が提供するソリューションで、FIDO2およびFIDO UAF標準に対応し、高度なセキュリティとパスワード不要のログイン体験を実現します。承認されたユーザーのみが、指定されたデバイス、場所、時間でログイン可能です。独自特許の二重チャネル認証アーキテクチャにより、ログインと認証の暗号化チャネルを分離し、中間者攻撃(MiTM)、ブラウザ中間者攻撃(MiTB)、フィッシング、アカウント乗っ取り(ATO)を効果的に防ぎます。現在、このサービスは金融機関や企業で広く導入され、数百万人のユーザーに安全で便利なパスワード不要のログイン環境を提供しています。
4. ゼロトラスト(Zero Trust)アーキテクチャの実装
ゼロトラスト(Zero Trust)アーキテクチャは、サイバーセキュリティ業界で広く認められている次世代の防御戦略です。核心原則は以下の通りです:
- いかなるデバイス、アカウント、アプリケーションも信頼を前提としない
- すべてのアクセスは、身元確認、行動検知、リスク評価を経て承認される
- リスクに応じてアクセス権を動的に調整する
つまり、内部社員、外部カスタマーサポート、サプライヤーであっても、多層の認証と最小権限原則を適用し、攻撃者がソーシャルエンジニアリングで1層突破しても企業ネットワーク全体に横展開されることを防ぎます。
「Keypasco ZTNA」は、ゼロトラストアーキテクチャに基づくサイバーセキュリティソリューションです。本製品は米国NIST・CISAの標準や台湾政府のゼロトラスト技術アーキテクチャを参照し、国家資通安全研究院の検証を受けています。身元確認、デバイス認証、信頼推定技術を通じ、企業や公共部門に包括的かつ強固なセキュリティ保護を提供します。
- 身元確認:多要素認証(MFA)およびFIDO U2F・FIDO2ソリューションを提供
- デバイス認証:デバイスの特性やソフトウェア情報をスキャンし、Keypascoサーバーに保存して認証
- リスク分析:AIを活用して行動を分析、リスクを継続的に評価し、新たな認証をトリガー
Keypascoは各国の法規制や実務ニーズに準拠しており、国内外の政府機関、金融機関、医療機関、スマートビル、高度技術産業などで導入されています。今後も企業のセキュリティコンプライアンス強化を支援し、あらゆる環境でのニーズに応え続けます