攻撃者が侵害されたAIライブチャットツールを通じてSalesforceインスタンスからデータを窃取

脅威アクターは、Salesloft Driftというサードパーティ統合からSalesforceのOAuthトークンを取得し、そのトークンを使って影響を受けたSalesforceインスタンスから大量のデータをダウンロードしました。攻撃者の目的の一つは、Salesforceレコードに保存されている追加の認証情報を見つけて抽出し、アクセス範囲を拡大することでした。

「データが流出した後、攻撃者は被害者環境を侵害するために利用可能なシークレットを探すため、データを検索しました」とGoogle Threat Intelligence Group（GTIG）はアドバイザリで述べています。「GTIGは、UNC6395がAmazon Web Services（AWS）のアクセスキー（AKIA）、パスワード、Snowflake関連のアクセストークンなどの機密認証情報を標的にしていることを観測しました。」

Salesloftは、営業エンゲージメントおよび収益オーケストレーションプラットフォームを運営する企業で、SalesforceインスタンスをSalesloft DriftのAI搭載ライブチャットツールと連携させていた影響を受けた顧客に既に通知しています。これらのユーザーのSalesforce認証トークンはすでに無効化されていますが、Salesforceインスタンスに保存されている他の認証情報が侵害されていないか、また他の外部資産へのアクセスがなかったかを直ちに社内調査する必要があります。

SaaS間統合はセキュリティの死角

OAuthはアプリケーション同士が簡単に認証し合う方法を提供しており、多くのプラットフォームがこの仕組みを利用して他のサービスと統合しています。しかし、このような統合は攻撃対象領域を拡大し、追加の侵入ポイントとなる可能性があります。

Salesloftは8月20日にDriftプラットフォーム上で不正な活動を検知しましたが、OAuthトークンを悪用したSalesforceデータへのアクセスは8月8日から18日の間に発生していました。GoogleのMandiantインシデント対応チームは、UNC6395として追跡している脅威アクターが「多数の企業のSalesforceインスタンス」から大量のデータをエクスポートしたと指摘しています。

Salesforceは、不正アクセスは自社プラットフォームの脆弱性によるものではないとし、影響を受けたアクセストークンの無効化に加え、さらなる調査のためにSalesloft DriftをAppExchangeから削除したと発表しました。

攻撃者はSOQLクエリを実行して、Cases、Accounts、Users、OpportunitiesなどのSalesforceオブジェクトに関連する情報を取得し、データを抽出した後、クエリーのジョブを削除しました。ただし、ログ自体は影響を受けていないため、組織は自分たちのログを確認し、どのクエリが実行され、どのデータが盗まれたかを特定できます。

Salesloft Driftユーザーが次に取るべき対応

GTIGのレポートおよびSalesloftのアドバイザリには、攻撃者が使用したIPアドレスやデータアクセスに使われたツールのUser-Agent文字列など、侵害の指標（IoC）が含まれています。Mandiantは、企業がIoCに記載されたIPアドレスだけでなく、既知のTor出口ノードからの活動もログで検索し、攻撃者が実行したすべてのクエリのリストを受け取るためにSalesforceサポートチケットを開くことを推奨しています。

組織は自社のSalesforceオブジェクト内に保存されている認証情報を検索し、それらをローテーションすべきです。特に「AKIA（AWS）」「Snowflake」「password」「secret」「key」といった用語を含むものは要注意です。VPNやSSOページなど、組織のログインURLに関連する文字列も検索対象としてください。TruffleHogというオープンソースツールも、ハードコーディングされたシークレットや認証情報の検索に利用できます。

「私たちはOAuth2トークンやSaaS間統合の侵害・悪用を定期的に目にしています」とAppOmniのCSO、Cory Michal氏はCSOに語りました。「これらは長らく多くの企業セキュリティプログラムの既知の死角でした。驚いたのは、攻撃者が示した規模と組織的な手法です。これは偶発的なものではなく、高度に調整され、計画と実行のレベルから国家支援型の敵対者による広範な作戦を示唆しています。」

BleepingComputerは、恐喝グループShinyHuntersの代表者が自分たちがこの攻撃の背後にいると主張していると報じています。ShinyHuntersは数年前から活動しており、AT&T、Ticketmaster、その他の組織で報告された侵害の責任を負っています。同グループは以前にもSnowflakeやAWSアカウントを標的にしており、最近ではSalesforceアカウントも、偽のITサポートコールを使ったビッシングキャンペーンで標的にしています。