更新:さらなる情報で記事を更新しました。
ハッカーは、セールスオートメーションプラットフォームSalesloftに侵入し、SalesforceとのDriftチャットエージェント統合からOAuthおよびリフレッシュトークンを盗み、顧客環境に移動してデータを流出させました。
SalesloftのSalesDriftは、Drift AIチャットエージェントをSalesforceインスタンスと接続するサードパーティプラットフォームであり、組織が会話、リード、サポートケースをCRMに同期することを可能にします。
Salesloftによると、脅威アクターはSalesforce統合に使用されるDriftのOAuthおよびリフレッシュトークンを取得し、2025年8月8日から8月18日の間にSalesforceデータ窃取キャンペーンを実行しました。
「初期調査によると、攻撃者の主な目的は認証情報の窃取であり、特にAWSアクセスキー、パスワード、Snowflake関連のアクセストークンなどの機密情報に焦点を当てていました」とSalesloftのアドバイザリには記載されています。
「このインシデントは、Drift-Salesforce統合を利用していない顧客には影響していないことが判明しています。現在も調査を継続していますが、このインシデントに関連する悪意のある活動が継続している証拠は見つかっていません。」
Salesforceと連携し、SalesloftはDriftアプリケーションのすべての有効なアクセスおよびリフレッシュトークンを無効化し、顧客にSalesforceインスタンスで再認証を求めました。
再認証するには、管理者は設定 > 統合 > Salesforceに移動し、統合を切断してから有効なSalesforce認証情報で再接続してください。
Googleの脅威インテリジェンスチーム(Mandiant)は、脅威アクターをUNC6395として追跡しており、Salesforceインスタンスにアクセスした後、SOQLクエリを発行してサポートケースから認証トークン、パスワード、シークレットを抽出し、さらなるプラットフォームへの侵入を可能にしたと述べています。
「GTIGは、UNC6395がAmazon Web Services(AWS)アクセスキー(AKIA)、パスワード、Snowflake関連のアクセストークンなどの機密認証情報を標的にしていることを観測しました」とGoogleは報告しています。
「UNC6395は、クエリーのジョブを削除することで運用上のセキュリティ意識を示しましたが、ログには影響がなく、組織はデータ漏洩の証拠がないか関連ログを確認すべきです。」
攻撃者は自らのインフラを隠すためにTorや、AWS、DigitalOceanなどのホスティングプロバイダーを利用しました。データ窃取攻撃に関連するUser-Agent文字列には、’python-requests/2.32.4’、’Python/3.11 aiohttp/3.12.15’、およびカスタムツール用の’Salesforce-Multi-Org-Fetcher/1.0’、’Salesforce-CLI/1.0’などが含まれます。
Googleは、管理者がSalesforceのログを調査し、攻撃の影響を受けたかどうかを判断するためのIPアドレスとユーザーエージェントのリストをレポートで提供しています。
影響を受けた環境の管理者は、認証情報をローテーションした上で、Salesforceオブジェクト内に盗まれた可能性のある追加のシークレットがないか検索することが推奨されています。これには以下が含まれます:
- 長期AWSアクセスキー識別子用のAKIA
- Snowflakeまたはsnowflakecomputing.com(Snowflake認証情報)
- password、secret、key(認証情報に関連する記述を検索)
- VPNやSSOログインページなど、組織固有のログインURLに関連する文字列
Googleはこの活動を新たな分類子UNC6395で追跡していますが、ShinyHunters恐喝グループはBleepingComputerに対し、自分たちがこの活動の背後にいると主張しています。
連絡を取ったところ、グループの代表者はBleepingComputerに「昨日突然動かなくなったのも不思議じゃない」と語りました。
しかし、Googleの脅威インテリジェンスチームは、この攻撃と恐喝グループを結びつけることはできていません。
「現時点で両者を結びつける決定的な証拠は見つかっていません」とGoogle脅威インテリジェンスグループの主任脅威アナリスト、オースティン・ラーセン氏はBleepingComputerに語りました。
この記事の公開後、脅威アクターはBleepingComputerに対し、Googleが説明したインシデントは自分たちとは関係なく、サポートケースを標的にしていないと述べました。
継続するSalesforce攻撃
Salesloftトークンの窃取は、ShinyHuntersグループに関連するSalesforceデータ侵害の波に加えて発生しており、同グループはScattered Spiderとして分類される脅威アクターとも重複していると主張しています。
「これまで何度も言ってきたように、ShinyHuntersとScattered Spiderは同一です」とShinyHuntersはBleepingComputerに語りました。
「彼らが初期アクセスを提供し、私たちがSalesforce CRMインスタンスのダンプと流出を行います。Snowflakeの時と同じです。」
今年初めから、脅威アクターはソーシャルエンジニアリング攻撃を実行し、Salesforceインスタンスに侵入してデータをダウンロードしています。
これらの攻撃では、脅威アクターがボイスフィッシング(vishing)を行い、従業員を騙して悪意のあるOAuthアプリを自社のSalesforceインスタンスにリンクさせています。
一度リンクされると、脅威アクターはその接続を利用してデータベースをダウンロード・窃取し、その後メールを通じて企業を恐喝しました。
Googleが6月に最初に攻撃を報告して以来、多くのデータ侵害がこのソーシャルエンジニアリング攻撃に関連付けられており、Google自身、Cisco、Farmers Insurance、Workday、Adidas、Qantas、Allianz Life、およびLVMHの子会社であるLouis Vuitton、Dior、Tiffany & Co.などが含まれます。
これらの追加攻撃により、脅威アクターは企業を恐喝するだけでなく、盗んだデータを利用して下流の顧客のクラウドサービスやインフラにも侵入する手口を拡大しています。
更新 8/26/25: Googleの声明を追加しました。
更新 8/26/25: これらの攻撃におけるShinyHuntersの関与についてさらなる説明を追加しました。
