Google Threat Intelligence Group(GTIG)は、今月初めにハッカーが数百のSalesforce顧客インスタンスからデータを盗み出す大規模なキャンペーンがあったと警告しています。
この攻撃は、Salesforceのコアプラットフォームの脆弱性を悪用したものではなく、サードパーティのAIチャットボットであるSalesloft Driftの不正に取得されたOAuthトークンを利用したものでした。
このキャンペーンは、GTIGによると、UNC6395として追跡されている脅威アクターによって2025年8月8日から8月18日の間に実行されました。
「このアクターは、多数の企業のSalesforceインスタンスから大量のデータを体系的にエクスポートしました。GTIGは、脅威アクターの主な目的は認証情報の収集であると評価しています」とGoogleの脅威インテリジェンス部門は述べています。
UNC6395は、盗まれた情報の中からAWSアクセスキー、パスワード、Snowflake関連のアクセストークンなどの秘密情報や機密情報を探していたことが確認されています。
Salesloftは、顧客が潜在的な侵害を特定できるようにインジケーター(IOC)を共有し、今回のインシデントの影響を受けたのはDriftをSalesforceと統合している組織のみであると指摘しています。
Salesforceと連携し、Salesloftは8月20日にDriftのトークンを無効化しました。そのため、すべてのDrift-Salesforce接続は統合を再度有効化するために再認証が必要となります。
「このインシデントは、弊社のDrift-Salesforce統合を利用していない顧客には影響しないことが判明しています。継続中の調査に基づき、本件に関連した悪意ある活動が継続している証拠は見つかっていません」とSalesloftは火曜日に述べました。
広告。スクロールして続きをお読みください。
GTIGによると、約700社のSalesforce顧客が今回の攻撃で侵害されましたが、SalesforceはDriftをAppExchangeから削除し、ハッカーがDrift経由でプラットフォームにアクセスできた顧客インスタンスはごく少数であり、影響を受けたすべての顧客には通知済みとしています。
GTIGは、DriftをSalesforceと統合している組織はSalesforceデータが侵害されたと見なすべきであり、侵害の兆候を調査し、Salesforceオブジェクト内に含まれるすべての認証情報や秘密情報をローテーションするよう助言しています。
「UNC6395はクエリージョブを削除することで運用上のセキュリティ意識を示しましたが、ログには影響がなかったため、組織は関連するログを確認しデータ漏洩の証拠を調査すべきです」とGTIGは指摘しています。
関連記事: Docker Desktopの脆弱性によりホストが侵害される
関連記事: 中国のSilk Typhoonハッカー、北米の複数業界を標的に
翻訳元: https://www.securityweek.com/hundreds-of-salesforce-customers-hit-by-widespread-data-theft-campaign/