被害組織は700件超? Salesforceインスタンスを狙ったデータ窃取の原因と対策を整理:Cybersecurity Dive
Salesforceインスタンスを標的とした大規模なデータ窃取が発生した。本件で影響を受けたユーザーが取るべき対策は。ソフトウェアベンダー側の動向は。Googleの発表から整理する。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Googleの脅威情報専門家チームGoogle Threat Intelligence Group(GTIG)は2025年8月27日(米国時間、以下同)、同社のSalesforceインスタンスが不正アクセスされ、ユーザーの認証情報が窃取されたことを明らかにした(注1)。この窃取はさらなる攻撃につながるおそれがあると、同社は警告している。
攻撃の狙いをGTIGはどう分析した?
Googleは本件の脅威アクターを「UNC6395」と呼ぶ。UNC6395は、SalesforceインスタンスとカスタマーエンゲージメントベンダーSalesloftのAI(人工知能)エージェント「Salesloft Drift」を連携する際に使用されたOAuthトークンを悪用するものだ。攻撃の目的は何だったのか?
脅威アクターの目的は、認証情報を収集することだったとGTIGは分析している。Salesforceインスタンスから大量のデータが盗まれたためだ。
GTIGによると、この攻撃で被害を受ける可能性がある組織は700を超えるという。同社のオースティン・ラーセン氏(主任脅威アナリスト)は、「脅威アクターはPythonを使って、標的とした各組織のデータ窃盗プロセスを自動化していた」と説明する。
GTIGはこの攻撃を、Salesforceインスタンスの脆弱(ぜいじゃく)性を利用したものではないと述べている。
窃取されたデータの中には、Amazon Web Services(AWS)のアクセスキー(AKIA)、パスワード、Snowflake関連のアクセストークンなど、機密性の高い認証情報が含まれていた。
GTIGによると、攻撃の大部分は2025年8月8日から18日の間に発生した。同月20日までに、SalesloftはSalesforceと連携の上、すべての有効なアクセストークンとリフレッシュトークンを無効化した。
Salesloftは2025年8月20日、警告を発表し(注2)、Salesloft Driftの管理者に接続と再認証を求めた。
2025年8月27日の声明で(注3)Salesforceは、同社のセキュリティチームが一部顧客のインスタンスへの不正アクセスにつながる恐れがある異常なアクティビティを検知したと発表した。
Salesloft Driftのアプリケーションは、調査が完了するまで、Salesforceのマーケットプレイスである「AppExchange」から取得できない。
Salesforceは発表の中で、「調査の一環としてSalesloftと引き続き連携し、必要に応じて情報を更新していく。影響を受けた顧客への通知や支援も進める」と述べた。
GTIGによると、脅威アクターは攻撃の痕跡を残さないためにクエリジョブを削除していたものの、イベントログは影響を受けていなかった。そのため同社は、管理者にデータ漏えいの証拠がないか、イベントログを確認するよう促している。
セキュリティベンダーMandiantのコンサルティング部門、Mandiant Consultingも声明を発表した。同社のCTO、チャールズ・カーマカル氏は自身のLinkedInで、SalesforceやSalesloftから侵害の通知を受けたユーザーは、Mandiantの指示に従って対応するよう求めた(注4)。
GTIGは、SalesforceインスタンスでSalesloft Driftを使用していた場合、自社のSalesforceデータが侵害されたと見なすべきだと指摘した。影響を受けた企業はAPIキーの無効化や認証情報の変更、アクセス制御の強化を実施するよう促した。
本件の被害者は、SalesforceとSalesloft Driftを連携させていたユーザーだけにとどまらない可能性もある。GTIGは2025年8月27日に公開したブログで、すべてのSalesloft Driftユーザーは、Salesloft Driftを連携する際に使用された認証トークンが侵害されている可能性があると考えるべきだと述べた(注5)。
Salesloft Driftのマーケティング支援ツール「Drift Email」の連携で使用するOAuthトークンの不正利用も確認できたという。ブログによると、2025年8月9日に「ごく少数」の「Google Workspace」アカウントが侵害されたことも明らかになった。
なお、Googleの広報担当者によると、Google WorkspaceやGTIGの親会社Alphabetのシステム自体への被害はなかったという。
(注1)Widespread Data Theft Targets Salesforce Instances via Salesloft Drift(Google Threat Intelligence Group)
(注2)Drift/Salesforce Security Notification(Salesloft)
(注3)Security Advisory: Unusual Activity in a Third Party Connected App(Salesforce)
(注4)CRITICAL ALERT: Widespread Theft of Data from Salesforce Tenants using Compromised Salesloft Drift OAuth tokens(Charles Carmakal)
(注5)Widespread Data Theft Targets Salesforce Instances via Salesloft Drift(Google Threat Intelligence Group)
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ソニー、AWSのAI基盤で推論処理300倍増へ ファンエンゲージメントはどう変わる?
- “AIエージェント暴走時代”が始まる? 企業がいま直視すべきリスク
ITmediaはアイティメディア株式会社の登録商標です。