脅威

オンラインサービスのユーザは、ログイン認証などの機密情報を盗み取る攻撃の対象となる可能性があります。これらの脅威には、電子メール詐欺(フィッシングやマルウェア)や、電 話による情報収集が含まれ、取得された情報は、不正なアクセスや機密情報を取得するために使用される可能性があります。

フィッシング詐欺とマルウェア

Salesforceのログインページなど、正当なウェブサイトをまねた偽サイトによる「フィッシング詐欺」には注意してください。以下のヒントに従えば、こ うした詐欺の被害を回避することができます。
  • ブラウザの右下角に、鍵のアイコンがあることを確認する(以下の画像を参照)。
  • Salesforceのログインページのリンクが含まれた電子メールは疑う。Salesforceへのログインは、常に下記のいずれかの方法で行う。
    (1)アドレスバーに「 https:///www.salesforce.com/login.jsp」と入力する。
    (2)セールスフォース・ドットコムのホームページ( www.salesforce.com)の[ユーザログイン]タブをクリックする。
  • Force.com Sandbox環境へのログインは、セキュリティが保護された次のサイトでのみ行う: https://test.salesforce.com/login.jsp

 

trust.salesforce.com


疑わしい電子メールを見分ける

フィッシング電子メールの多くは、情報の「確認」や「更新」のためと偽り、情報を開示させようとします。本 物らしく装うために、実在の会社や政府機関のロゴを使用している場合もあります。

1つのヒントとなるのは、そのようなメッセージの多くは、スペルや文法の誤りがあるということです。しかし、手口はより巧妙かつ多様化しているので、文章の完成度も上がっています。も う1つのヒントは、電子メールが装っている会社の実際のURLとは異なる点です。

以下は、一般的なフィッシング詐欺の例ですが、実際はこれに限りません。日々新たな手口が生まれているからです。

 

trust.salesforce.com
trust.salesforce.com "Dear Salesforce user ..." あなたの名前やその他固有の情報が含まれていない電子メールは疑ってください。このようなメッセージは、一括送信されることが多く、固 有の識別情報がありません。
trust.salesforce.com "We suspect an unauthorized transaction on your account.To ensure that your account is not compromised, please confirm your identity ..." アカウントにセキュリティの問題が起きたと偽り、返信を要求します。
trust.salesforce.com "Verify your account ..." 企業は、パスワード、ログイン名、社会保障番号、その他の個人情報を電子メールで要求することはありません。
trust.salesforce.com "If you don't respond within 48 hours, your account will be closed ..."や"Get your refund now ..."など、緊急性を漂わせ、直ちに返信させようとします。


正当な企業は、電子メールで機密情報を尋ねることはありません。このような電子メールを受け取ったら、返 信したりメール中に含まれるリンクをクリックしたりせずに、 JapanSecurity@salesforce.com に転送した後、削 除してください。


疑わしいリンクや添付ファイルに注意する
悪意あるソフトウェアからの攻撃もまた、フィッシング詐欺と類似する多くの方法を使用して、電子メール経由でやってきます。これらの電子メールには、リンクや添付ファイルが含まれていて、こ れらが悪意あるコードをコンピュータにインストールします。悪意あるコードには、キーボード入力をキャプチャするプログラムなどがあります。ユ ーザは.exeや見知らぬ拡張子の付いた添付ファイルには慎重になっているので、昨今では.docや.pdfなどの安全そうな拡張子が使用されるようになっています。そのため、す ぐにクリックしてしまうユーザが依然として多く存在します。


trust.salesforce.com 一般的ではないリンク先には注意してください。
trust.salesforce.com 本物とよく似た“www.salsforce.com” や “verify-salesforce.com” などのURLが含まれているリンクには注意してください。
trust.salesforce.com たとえ問題がないように見えるリンクでも、会社のURLは自分でアドレスバーに入力して確認してください。同じページへのリンクを装い、実際は他のページにリンクする手口も見られます。


trust.salesforce.com


疑わしい電子メールを報告する
セールスフォース・ドットコムのブランドを使用した、疑わしいメールを受信した場合は、 https://trust.salesforce.com/trust/security/reportsecurityissue/まで報告してください

疑わしい電話

一部のお客様から、セールスフォース・ド ットコムの従業員やエージェントを偽る人物からの電話を受け取ったという報告をいただいています。これらの電話の中には、S alesforceの認証情報を盗み取ろうとする、いわゆる「 ソーシャルエンジニアリング」と呼ばれる不法行為ががあります。

一般的には、次のようなものです。
  • 電話の発信者は、求人情報などを検索して、Salesforceを使用している企業を特定します。
  • 次に、お客様の企業に電話をいれ、セールスフォース・ドットコムの担当者、またはSalesforceのシステム管理者に連絡を取ります。電話の発信者は、「 新しいバージョンのSalesforce」を提供するなどと主張します。
  • そして、「改訂版のインストール」などの活動をお客様の組織内で行うためと偽って、ログイン情報を尋ねます。


お客様は、次のように行動してください。
  • ユーザにセールスフォース・ドットコムの社員は、ユーザ名やパスワードを尋ねたりはしないことを再認識させてください。
  • もし、お客様のユーザがログイン情報を漏らしてしまった場合は、その社員のパスワードをすぐにリセットし、次のアドレスに警報を送ってください: security@salesforce.com
  • もし、電話の発信者がセールスフォース・ドットコムの社員を名乗り、お客様がその人物の名前に覚えがない場合は、折り返し連絡するための電話番号、または、電 子メールアドレスを聞いてください。次に、1-800-NO-SOFTWARE(1-800-667-6389)に電話し、その電話の発信者がセールスフォース・ドットコムの社員であるかどうか、確 認してください。

H1N1ウイルス警戒情報

WHO (世界保健機関) では、公式にH1N1ウイルスの世界的大流行を宣言しました。セ ールスフォース・ドットコムは、従業員の安全とサービス継続を保証するために、どのような対応を取っているかについて、お客様にお知らせすべきと考えました。

セールスフォース・ドットコムでは、医療援助、国際的な健康管理、セキュリティサービスおよびトラベルサービスの分野で世界をリードするインターナショナルSOS社が作成・検 証を行ったパンデミック準備計画を実行しています。計画では、フェーズごとの対応を用意し、基幹業務を維持しながら、従業員、お客様および代理店との間でのパンデミックウイルスの伝染を抑えるために、パ ンデミックに対し従業員が有効な対策を効率よく実行できるようにしています。

さらに詳しい情報をお求めのお客様は、担当者を通じて詳細報告をご請求ください。

H1N1パンデミック準備計画に関する上記の情報は、情報提供のみを目的としたものです。セールスフォース・ドットコムでは、このドキュメントの公開日時点での正確な情報提供に努めています。上 記の手続きおよびポリシーは、その都度、変更になる場合があります。

 

最近のフィッシング詐欺

フィッシング詐欺は、偽の電子メールを使って、ユーザに機密情報を開示させようとします。そのような電子メールは一般的に、送信元に実在の組織名を使用します。中 にはその組織のウェブサイトを模倣したリンクが含まれているものもありますが、実際には情報を取得するための偽サイトです。

これらの詐欺が巧妙になるにつれて、電子メールが本物か偽物かを見分けるのは難しくなってきています。騙されないための最善の方法は、詐欺を見抜くための正しい知識を身に付けることです。フ ィッシング詐欺を未然に防ぐために、お客様が取ることのできる対策については、弊社が発行している、 セキュリティレターをお読みください。

フィッシング詐欺に騙されないでください。以下の最近の詐欺の例を確認してください。 

詳細については、次のサムネイル画像をクリックしてください。