「えええええ! Googleがやられるとは」
──世界有数のセキュリティを誇る企業が、たった一本の“電話”からデータ侵害を許した。
2025年6月、GoogleのSalesforceデータベースにShinyHunters(UNC6040)と呼ばれるハッカー集団が侵入
盗まれたのは中小企業の連絡先やメモといったビジネス情報だが、その裏には日本ではあまり報じられない衝撃的な手口と国際的なサイバー犯罪の動きがある。
本記事では海外報道をもとに、この事件の全貌と見落とされがちなリスクを深掘りする。
目次
1. 事件の概要
米国時間2025年8月5日、Google Threat Intelligence Group(GTIG)は、自社が使用していたSalesforceのインスタンスがハッキングを受けたことを公式に認めました。
攻撃はShinyHunters(正式コード名:UNC6040)によるもので、2025年6月に実行されたとしています。
盗まれたのは中小企業の連絡先情報や関連メモで、大部分は公に入手可能なビジネス情報だったとGoogleは説明
しかし被害件数や規模については明らかにしていません。
2. 海外報道が伝える侵入手口
日本国内報道ではほとんど触れられていませんが、海外メディア(TechRadar、Axios)によれば、この攻撃には**「vishing(声によるフィッシング)」**が使われました。
-
攻撃者はGoogle社員にITサポートを装った電話をかけ、ログイン情報やアクセス許可を巧みに引き出す
-
取得した認証情報でSalesforceのデータにアクセス
-
侵入時間は短時間だったが、目的のデータをダウンロード
つまり、システムの脆弱性を突くよりも人間の心理的隙を突いた攻撃です。
3. ShinyHunters(UNC6040)の背景
ShinyHuntersは過去にもPandora、Qantas、Allianz Life、AT&T、Santanderなど、名だたる企業を次々と標的にしてきたことで知られています。
国際的な法執行機関による摘発も受けていますが、メンバーは複数の国に分散し、組織は存続していると見られます。
彼らの特徴的な手口は以下の通りです。
-
侵害から72時間以内にビットコインで身代金を要求
-
メールや電話での恐喝(vishingを含む)
-
流出データを闇市場(ダークウェブ)で販売
今回、Googleに対してこの身代金要求があったかは公表されていません。
4. 日本であまり報じられないポイント
-
人的要因の脆弱性
セキュリティ対策がどれほど高度でも、“電話一本”で破られる可能性がある。 -
クラウド依存のリスク
Salesforceのような外部クラウドサービスは便利だが、設定・運用・権限管理のどこかに穴があれば被害は避けられない。 -
情報公開の遅延
海外報道では、侵害から公式発表までの時間差(約2カ月)が指摘されています。この間、データは攻撃者の手にあった可能性が高い。
5. 企業が取るべき対策
-
vishing対策の社内教育:模擬訓練や定期的な啓発で「電話で認証情報を渡さない」文化を徹底
-
多要素認証(MFA)の徹底:パスワード依存からの脱却
-
異常アクセス検知の強化:クラウドサービスの監視ログを活用
-
インシデント報告体制の明確化:社内外への早期通知フローを整備
まとめ
今回のGoogleハッキングは「高度な技術的侵入」ではなく、「人の心理を突く攻撃」によるものでした。
ShinyHuntersのような国際的サイバー犯罪集団は、日本企業にも十分な脅威となり得ます。
セキュリティの最大の弱点は“人間”であるという事実を、改めて突きつける事件と言えるでしょう。
ひとりごと
どんなにセキュリティを強化しても「高度な技術的侵入」ではなく、「人の心理を突く攻撃」という仕組みを巧妙に利用されました。
電話というテック業界では、オワコン化しつつある媒体を利用するという「人間のスキを狙われました」
セキュリティは、どんなに防御をしても穴を塞ぐことは不可能で、優秀なエンジニアが集まっているGoogleでも防ぎきれなかったわけです。
「人と言う あいまいなデバイス」を防ぐことは簡単ではない ということが実証されてしまった。
日本でも金銭や他のことで組織や国を裏切る政治家や役人のような公人が多いわけですから
完全に防ぐには、すべて AIにでもゆあってもらうしかないと思います。
