Salesforceファイルアップロードのセキュリティ対策：マルウェアや悪意のあるリンクがCRMを侵害する前に阻止する方法

攻撃者のSalesforceへの関心は、その採用率に比例して高まる。

2025年の脅威インテリジェンス分析によれば、ファイルアップロードとOAuthの悪用が主要なSaaS侵害の背後にある主な攻撃ベクトルとして浮上し、クラウドセキュリティ戦略における重大な盲点を露呈した。

• 2025年第1四半期のSalesforce脅威検知率が2024年第4四半期比で20倍増加
• 協調型SaaS攻撃により約10億件の記録が盗まれる
• 39以上の主要組織が侵害された。これにはGoogle、コカ・コーラ、アディダス、アリアンツ、エールフランス、KLM、M&Sが含まれる。

これらは単なる端的な事例ではなかった。

それらはグローバルブランド、規制産業、そして成熟したセキュリティプログラムを持つ組織に影響を与えた。

• Google Ads：255万件 の見込み顧客データが流出 
• コカ・コーラ ユーロパシフィック パートナーズ：2300万件以上の セールスフォース記録が流出 
• アリアンツ生命：140万人の顧客が影響を受ける 
• 英国の小売業者（M&S、Co-op、ハロッズ）：ヘルプデスク操作がランサムウェア展開につながった 
• 航空部門（エールフランス、KLM、ハワイアン航空、ウエストジェット）：体系的かつ協調的な標的化 

すべてのインシデントに共通する傾向が明らかになった：悪意のあるファイルやリンクが信頼されたSalesforceワークフローを通じて侵入し、チェックも検査も受けずに侵入していた。

2025年初頭を通じて、複数のセキュリティ業界アナリストが共通の傾向を明らかにした。

攻撃者は、一見正当なファイルを利用して従来の防御策を回避し、SalesforceなどのSaaSプラットフォーム内のエンドユーザーに到達している。

台本が変わった。 

ソフトウェアの脆弱性を悪用する代わりに、攻撃者は通常の業務ワークフロー（アップロード、共有記録、統合）を通じて配信される信頼された文書形式に焦点を当てた。  

この方法はより効果的です。なぜなら、ファイルアップロードに対するセキュリティ審査は往々にして最小限だからです。

武器化されたファイルアップロードはユーザーの信頼を悪用し、日常的なファイルに有害なコンテンツを隠蔽した。^[2-5]

Wordファイルは悪意のある活動の最も一般的な配布手段であり続けた。  

攻撃者はフィッシングリンクや外部マルウェアのダウンロードURLを埋め込み、「請求書をご確認ください」や「更新された契約書を添付します」といった説得力のあるソーシャルエンジニアリングメッセージと組み合わせた。  

これらのファイルはSalesforceに直接アップロードされると、メールセキュリティ制御を完全に回避した。 

マイクロソフトやその他の業界の脅威レポートで指摘されているように、QRコードを利用したフィッシング（「クイーシング」）は2025年に勢いを増した。

画像ファイルに埋め込まれた悪意のあるQRコードは、主にmobile のユーザーを認証情報収集ページへ誘導し、mobile における可視性と検証の低さを悪用していた。

PDFファイルは、請求書、コンプライアンス書類、または法的文書を装うことがよくあります。

一部には埋め込まれたJavaScriptが含まれており、他のものはユーザーを外部フィッシングサイトやマルウェアホスティングサイトへ誘導していました。

攻撃者はまた以下を活用しました：

• ブラウザベースのフィッシングページ用HTMLファイル 
• ZIPアーカイブによる二次ペイロードの隠蔽 
• 数式ベースの手法を用いて悪意のあるロジックを実行するExcelファイル 

ファイルベースのデータ交換が増加するにつれ、マルウェアはより高度化し、検出が困難になっており、従来のシグネチャベースのセキュリティツールを回避することが多くなっている。

OPSWAT 、マルウェアの複雑性は6か月間で127% 増加した。その要因は、 配信のたびに変化するポリモーフィックマルウェア、メモリ上で直接実行されるファイルレス攻撃、時間遅延型ペイロード、サンドボックス回避技術、そして正規のファイル構造内に隠された暗号化された悪意のあるコンテンツである 。

現代の攻撃手法では、注入ポイントがファイル自体を超えて移動する場合がある。

こうしたケースでは、文書や画像に埋め込まれたURLの中に、実際の危険が潜んでいることが多い。

セキュリティ研究者は一貫して、攻撃者がマルウェアの配布よりも、 一見正当に見えるリンクを使用してユーザーを悪意のあるサイトへ誘導することに 重点を置いていると報告している。

ユーザーがクリックする頃には、従来のセキュリティチェックは既に回避されている。

攻撃者は日常的に、信頼できるブランドに酷似したドメインを登録する。文字を置換したり、余分な文字を追加したり、サブドメインを悪用したりする。

例としては、よく知られたサービスのスペルミス版や、信頼できるブランド名をURLに追加してユーザーを安全だと誤解させるものなどが挙げられる。 

フィッシングキャンペーンの大部分は、攻撃の数週間前、あるいは数日前に作成されたドメインに依存している。これらのドメインは確立された評判がなく、キャンペーン中に短期間使用され、ブロックリストに登録される前に放棄されることが多い。

広く利用されているサービスによる短縮リンクは、最終的な行き先を不明瞭にし、ユーザーや基本的なセキュリティツールがリンクの先を確認できないようにする。この手法は、単純な評判やキーワードベースのフィルタリングを回避できるため、依然として人気を保っている。

攻撃者は検索エンジンのリダイレクト、クラウドサービス、コンテンツ配信プラットフォームといった信頼されたインフラを隠れ蓑にすることが増えている。これらのURLは無害に見え、初期の信頼性チェックを通過し、その後になって初めてユーザーをフィッシングやマルウェアをホストするページへリダイレクトする。

特定のTLDは、登録費用が低く規制が緩いため、フィッシングキャンペーンで不釣り合いなほど悪用される。どのTLDも本質的に悪意があるわけではないが、攻撃者は迅速に作成でき、何の罰もなく廃棄できるドメインを好む。

セールスフォースはファイルのアップロード、共有、交換のための多くの方法を提供していますが、攻撃者はそれらのほぼすべてを悪用しました。

単一の機能を標的にするのではなく、彼らはファイル取り込みのエコシステム全体を悪用し、日常業務のワークフローに悪意のあるコンテンツを混入させた。

外部提出パスは、信頼できないユーザーからのファイルを受け入れるように設計されているため、頻繁に標的とされました。これには、メールからケースへのフォーム、Webからケースへのフォーム、サービスCloud 、およびカスタマーポータル経由のアップロードが含まれます。

攻撃者は、Chatter投稿、共有ファイル、SlackやWhatsAppなどのメッセージングプラットフォームとの連携、およびCloud 共有されたコンテンツといったコラボレーション機能を利用しました。

2025年のセキュリティデータ^[6]が明らかにしているのは、ファイルがSalesforceのようなSaaSプラットフォームを標的とする主要な攻撃ベクトルとなったことだ。攻撃者は従来の防御を迂回するためファイルアップロードや共有コンテンツをますます活用しており、OAuthの悪用によって脅威は多要素認証（MFA）制御を完全にすり抜けることが可能となっている。 

同時に、従来のセキュリティツールのほとんどは、Salesforceワークフローを保護したり、アップロード時にファイルを検査したりするようには設計されていなかった。  

リスクを効果的に低減するには、悪意のあるファイルやリンクがユーザーや業務プロセスに到達する前に、予防策を講じなければならない。 

MetaDefender Salesforceはまさにそれを実現します。 

真の問題は、攻撃者がSalesforce環境を標的にするかどうかではなく、攻撃が成功する前に阻止できるかどうかです。