詳細情報:
フィッシングおよび不正ソフトウェア
リスクを理解し、セキュリティのベストプラクティスに従い、最新の脅威に関する情報を常に把握することで、Salesforce データをフィッシングやマルウェアの攻撃から保護します。
Salesforceを装った不審なメールや電話の受信など、Salesforceインスタンスに関する不審な点に気付いた場合は、自社のITチームやセキュリティ チームに加えて、https://security.salesforce.com/contactでフィッシングの試みをすぐに報告してください。
信頼には何よりも透明性が必要です。そのため、Salesforce では https://trust.salesforce.com/ にシステムパフォーマンスに関するリアルタイム情報が表示されます。セキュリティ固有の情報については、https://security.salesforce.com/にアクセスして、現在および最近のフィッシングやマルウェアの試みについての詳細を確認し、組織のセキュリティのベスト プラクティスのヒントを得ることができます。セキュリティサイトには、会社のデータの保護に役立つ有益な情報が含まれています。セキュリティに関するベストプラクティスに加えて、このサイトではフィッシングの認識及び報告方法に関する情報や、Salesforce 利用者に影響を及ぼす可能性がある現在の不正ソフトウェアキャンペーンに関する情報を提供しています。
- フィッシングは、機密情報を取得するために使用されるソーシャルエンジニアリング手法です。これには、ユーザー名、パスワード、クレジットカードの詳細が含まれます。信頼できる個人またはエンティティになりすまして機能します。フィッシングは、メール、テキストメッセージ、電話、その他の手段で発生する可能性があります。フィッシング詐欺師は、標的がリンクをクリックして貴重な情報を入力したり、不正ソフトウェアを標的のデバイスにダウンロードさせるために添付ファイルを開封するよう誘導する場合がよくあります。Salesforce コミュニティが大きくなるにつれて、コミュニティはフィッシング詐欺師にとって格段に目立つ標的となります。Salesforce スタッフからログイン情報を尋ねるようなメールや電話を行うことはありませんので、ログイン情報は誰にも公開しないでください。Salesforceインスタンスに関する疑わしいアクティビティやEメールは、Salesforceセキュリティ チーム(https://security.salesforce.com/contact)に直接報告してください。
- 不正ソフトウェアは、所有者の同意なく、コンピューターシステムに進入したり、損害を与えるように設計されたソフトウェアです。不正ソフトウェアは、さまざまな形式の悪意がある、または侵略的なソフトウェアを表す一般的な用語で、コンピューターウイルスやスパイウェアも含まれます。最新のセキュリティ アドバイザリのリストについては、https://security.salesforce.com/security-advisoriesを参照してください。
フィッシングおよび不正ソフトウェアへの Salesforce の対策
セキュリティはお客様の成功の基本であるため、Salesforce では今後もエコシステムを保護するために最善の実例やセキュリティ技術を実装していきます。最新かつ実行中の活動は次のとおりです。
- 影響を受けたお客様に警告できるようにするためのログの積極的な監視や分析。
- 主要なセキュリティベンダーや有効なセキュリティツールに関する専門家との連携。
- Salesforce 従業員の継続的なセキュリティ教育およびエンゲージメント活動。
- セキュリティを念頭に置いた商品開発プロセスの作成。
- https://security.salesforce.com/およびその他の継続的な活動を通じて、セキュリティのベスト プラクティスをお客様やパートナーと積極的に共有します。
Salesforce の推奨事項
Salesforce はカスタマーセキュリティの効果的なパートナーとして、サービスソフトウェアの基準を設定しています。当社の取り組みに加え、お客様もセキュリティ向上のために次の変更を行うことをお勧めします。
- ネットワークへのアクセスを保護するため、Salesforce では、ログイン時に必ず多要素認証 (MFA) を使用することを義務付けています。
- IP 範囲制限を有効にするために Salesforce 実装を変更する。こうした制限により、ユーザーが会社のネットワークまたは VPN からのみ Salesforce にアクセスできるようにします。詳細は、「Set Trusted IP Ranges for Your Org (組織の信頼済み IP 範囲の設定)」を参照してください。
- セッションセキュリティ制限を設定して、なりすましを難しくする。詳細は、「セッションセキュリティ設定の変更」を参照してください。
- フィッシングから保護するため、疑わしいメールを開かないように、慎重になるよう教育する。
- 主要ベンダーのセキュリティソリューションを使用して、スパムのフィルタリングや不正ソフトウェア保護を展開する。
- 組織内にセキュリティ担当者を指定し、Salesforce がより効率的に連絡できるようにする。詳細は、Salesforce の担当者までお問い合わせください。
- 拡張トランザクションセキュリティを使用してイベントを監視し、適切な措置を講じる。詳細は、「 トランザクションセキュリティ 」を参照してください。
Salesforce には、セキュリティ問題に対応する Security Incident Response Team があります。セキュリティ インシデントまたは脆弱性をSalesforceに報告するには、Salesforceセキュリティ チーム(security.salesforce.com/contact)にお問い合わせください。問題について詳細に説明していただければ、チームが適切に対応いたします。
メールに関するセキュリティ意識のベストプラクティス
フィッシング詐欺では、不正なメールを使用して、ユーザーが機密情報を漏らすように仕向けます。このようなメールは通常、正当な組織からのものであるように見え、その組織のように見えるサイトへのリンクが含まれる場合もあります。ただし、そのサイトは実際には情報を取得するための擬似サイトです。
これらの詐欺が高度に進化するにつれ、メールが本物か偽物かを判断するのは困難になります。たとえば、フィッシングメールには force.com ドメインからの悪意のあるリンクが含まれている可能性があります。また、受信メールからケースを生成する Salesforce 組織で、ケース自体のメールに悪意のあるコンテンツが含まれている可能性もあります。
フィッシングや不正ソフトウェア攻撃の被害者にならないようにする最良の方法は、探すべき情報を知っておくことです。Salesforce で生成されたケースにも、フィッシングメールと同じベストプラクティスを適用することをお勧めします。
- メールを受信することが想定されていない限り、メールおよびメールで生成されたケース内のリンクをクリックしたり添付ファイルを開いたりしないでください。
- 外部メールアドレスから送信されたすべてのメールとケースは、信頼できないものとして処理します。
- メールまたはメールで生成されたケースに次の操作を指示するメッセージが含まれている場合、フィッシング攻撃である可能性が高いと考えられます。
- リンクをクリックする。
- 添付ファイルを開く。
- パスワードを検証する。
- アカウントにログインする。
- 個人情報やログイン情報を入力する。
フィッシングメールやフィッシングメール-to-ケースを受信した場合は、削除して社内 IT チームに通知します。Salesforce は今後もお客様の成功を最優先に考え、ご信頼いただけるよう努力してまいります。
