検索
ニュース

Salesforceからのデータ窃取、Google、Cloudflare、Zscalerが被害 原因は連携していたサードパーティアプリの侵害「Salesloft Drift」導入企業に影響、サプライチェーンリスクが浮き彫りに

Googleの脅威インテリジェンスグループとMandiantは共同で、Salesforceインスタンスからの大規模なデータ窃取キャンペーンを注意喚起するセキュリティアドバイザリーを発表した。Salesforceを含むサードパーティープラットフォームに「Saleloft Drift」を連携していた全ての企業に対して注意を喚起している。

Share
Tweet
LINE
Hatena

 Google脅威インテリジェンスグループ(GTIG)とMandiantは2025年8月27日(米国時間)、「UNC6395」として追跡している脅威アクターによるデータ窃取に関するアドバイザリーを公開した。

 同アドバイザリーによると、UNC6395は、2025年8月8日から少なくとも8月18日にかけて、Salesforceインスタンスとサードパーティーアプリケーション「Salesloft Drift」の連携に使用されたOAuthトークンを悪用したデータ窃取攻撃を実行していたという。

攻撃の目的は取引先情報に含まれるシークレットか GTIGの分析

 GTIGは「この攻撃はSalesforceの脆弱(ぜいじゃく)性によるものではない。原因は、連携している外部アプリケーションの認証情報が侵害されたことにある。UNC6395はOAuthトークンを悪用し、Salesforce内のCases(ケース)、Accounts(取引先)、Users(ユーザー)、Opportunities(商談)といった大量のデータを窃取した」と述べている。

 GTIGの分析によると、UNC6395の目的は、顧客情報そのものではなく、システムにアクセスするためのシークレットを収集することにあったという。窃取されたデータの中には、Amazon Web Services(AWS)のアクセスキー(AKIA)、パスワード、Snowflake関連のアクセストークンといったシークレットが含まれていた。

 Googleは「攻撃者はデータ窃取攻撃の痕跡を消すためにクエリジョブを削除するといった手口を用いていたが、ログは影響を受けていなかった。企業は関連するログを調査することで攻撃の痕跡を見つけることが可能だ」と述べている。

SELECT COUNT() FROM Account;
SELECT COUNT() FROM Opportunity;
SELECT COUNT() FROM User;
SELECT COUNT() FROM Case;
攻撃者が実行したとされるカウントクエリ
SELECT Id, Username, Email, FirstName, LastName, Name, Title, CompanyName, 
Department, Division, Phone, MobilePhone, IsActive, LastLoginDate, 
CreatedDate, LastModifiedDate, TimeZoneSidKey, LocaleSidKey, 
LanguageLocaleKey, EmailEncodingKey 
FROM User 
WHERE IsActive = true
ORDER BY LastLoginDate DESC NULLS LAST 
LIMIT 20
攻撃者が実行したとされるユーザーデータ取得用クエリ
SELECT Id, IsDeleted, MasterRecordId, CaseNumber <snip>
FROM Case
LIMIT 10000
攻撃者が実行したとされるケースデータ取得用クエリ

 Salesforceは同日、Salesloftと協力の下、有効なアクセストークンおよびリフレッシュトークンを無効化。Salesforceのマーケットプレイスである「AppExchange」からDriftアプリを削除し、影響を受けた顧客に対して通知したことを明らかにしている。このデータ窃取を巡っては、9月2日の時点で複数の企業が被害を公表している。

 被害に遭ったCloudflareは「攻撃対象となった数百社の企業から流出したデータは、さらなる攻撃に悪用される可能性がある」と指摘している。

 GTIGとMandiantは、Salesforceを含むサードパーティープラットフォームとSalesloft Driftを連携させていた組織向けに「統合されていたプラットフォーム内に含まれる機密情報およびシークレットを調査し、APIキーの無効化、認証情報のローテーション、脅威アクターによるシークレットの悪用有無を判断するための追加調査など、適切な措置を講じる必要がある」と、アドバイザリーを通じて注意を喚起している。


 連携しているサードパーティーアプリケーションの侵害が、取引先の情報を直接窃取されるリスクに直結するという、サプライチェーンリスクの深刻さをあらためて浮き彫りにしたインシデントだといえる。9月3日時点で被害の全容は明らかになっていないが、SaaS連携がビジネス遂行の手段として不可欠となりつつある今、企業はサードパーティーアプリケーションとの連携状況にも目を向ける必要があるといえるだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る