Salesforceからのデータ窃取、Google、Cloudflare、Zscalerが被害 原因は連携していたサードパーティアプリの侵害:「Salesloft Drift」導入企業に影響、サプライチェーンリスクが浮き彫りに
Googleの脅威インテリジェンスグループとMandiantは共同で、Salesforceインスタンスからの大規模なデータ窃取キャンペーンを注意喚起するセキュリティアドバイザリーを発表した。Salesforceを含むサードパーティープラットフォームに「Saleloft Drift」を連携していた全ての企業に対して注意を喚起している。
Google脅威インテリジェンスグループ(GTIG)とMandiantは2025年8月27日(米国時間)、「UNC6395」として追跡している脅威アクターによるデータ窃取に関するアドバイザリーを公開した。
同アドバイザリーによると、UNC6395は、2025年8月8日から少なくとも8月18日にかけて、Salesforceインスタンスとサードパーティーアプリケーション「Salesloft Drift」の連携に使用されたOAuthトークンを悪用したデータ窃取攻撃を実行していたという。
攻撃の目的は取引先情報に含まれるシークレットか GTIGの分析
GTIGは「この攻撃はSalesforceの脆弱(ぜいじゃく)性によるものではない。原因は、連携している外部アプリケーションの認証情報が侵害されたことにある。UNC6395はOAuthトークンを悪用し、Salesforce内のCases(ケース)、Accounts(取引先)、Users(ユーザー)、Opportunities(商談)といった大量のデータを窃取した」と述べている。
GTIGの分析によると、UNC6395の目的は、顧客情報そのものではなく、システムにアクセスするためのシークレットを収集することにあったという。窃取されたデータの中には、Amazon Web Services(AWS)のアクセスキー(AKIA)、パスワード、Snowflake関連のアクセストークンといったシークレットが含まれていた。
Googleは「攻撃者はデータ窃取攻撃の痕跡を消すためにクエリジョブを削除するといった手口を用いていたが、ログは影響を受けていなかった。企業は関連するログを調査することで攻撃の痕跡を見つけることが可能だ」と述べている。
SELECT COUNT() FROM Account; SELECT COUNT() FROM Opportunity; SELECT COUNT() FROM User; SELECT COUNT() FROM Case;
SELECT Id, Username, Email, FirstName, LastName, Name, Title, CompanyName, Department, Division, Phone, MobilePhone, IsActive, LastLoginDate, CreatedDate, LastModifiedDate, TimeZoneSidKey, LocaleSidKey, LanguageLocaleKey, EmailEncodingKey FROM User WHERE IsActive = true ORDER BY LastLoginDate DESC NULLS LAST LIMIT 20
SELECT Id, IsDeleted, MasterRecordId, CaseNumber <snip> FROM Case LIMIT 10000
Salesforceは同日、Salesloftと協力の下、有効なアクセストークンおよびリフレッシュトークンを無効化。Salesforceのマーケットプレイスである「AppExchange」からDriftアプリを削除し、影響を受けた顧客に対して通知したことを明らかにしている。このデータ窃取を巡っては、9月2日の時点で複数の企業が被害を公表している。
- Cloudflare(公表記事)
- Google(同アドバイザリー内で被害を公表)
- PagerDuty(公表記事)
- Palo Alt Networks(公表記事)
- Tanium(公表記事)
- Zscaler(公表記事)
被害に遭ったCloudflareは「攻撃対象となった数百社の企業から流出したデータは、さらなる攻撃に悪用される可能性がある」と指摘している。
GTIGとMandiantは、Salesforceを含むサードパーティープラットフォームとSalesloft Driftを連携させていた組織向けに「統合されていたプラットフォーム内に含まれる機密情報およびシークレットを調査し、APIキーの無効化、認証情報のローテーション、脅威アクターによるシークレットの悪用有無を判断するための追加調査など、適切な措置を講じる必要がある」と、アドバイザリーを通じて注意を喚起している。
連携しているサードパーティーアプリケーションの侵害が、取引先の情報を直接窃取されるリスクに直結するという、サプライチェーンリスクの深刻さをあらためて浮き彫りにしたインシデントだといえる。9月3日時点で被害の全容は明らかになっていないが、SaaS連携がビジネス遂行の手段として不可欠となりつつある今、企業はサードパーティーアプリケーションとの連携状況にも目を向ける必要があるといえるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
5社に1社が「シャドーAI」に関するインシデント経験――企業のデータ侵害コスト、日本は5億5000万 IBM調査
企業のデータ侵害を取り巻く状況はどう変化しているのか。日本IBMは2025年9月2日、年次調査「Cost of a Data Breach Report 2025」の日本語版を発表し、同日開かれた記者説明会で調査結果を解説した。
GitHub、シークレット情報の漏えい状況を分析するアセスメント機能を提供開始
GitHubは、組織内のリポジトリに含まれるAPIキーやパスワードなどのシークレット情報の漏えい状況を可視化する新機能「シークレットリスクアセスメント」の提供を開始した。
「サービスアカウント」「ロール」「API」「アクセスキー」などの“非人間アイデンティティー(NHI)”に潜むセキュリティリスクTOP 10 OWASPが発表
OWASPは、非人間アイデンティティーに関するセキュリティリスクをまとめた「Non-Human Identities Top 10」を公開した。