Google Threat Intelligence Group(GTIG)によると、Salesloft Drift統合を通じて数百のSalesforce顧客が被害を受けた最近の大規模なデータ窃取キャンペーンは、Google Workspaceを利用する組織にも影響を及ぼしました。
このキャンペーンは2025年8月8日から8月18日にかけて実行され、サードパーティのAIチャットボットであるSalesloft Driftの不正に取得されたOAuthトークンを利用して、企業のSalesforceインスタンスから大量のデータをエクスポートしたとGTIGは8月26日に警告しました。目的は認証情報の収集である可能性が高いとされています。
攻撃者はAWSアクセスキー、パスワード、Snowflake関連のアクセストークン、その他の機密情報を探していたことが確認されています。GTIGは、このキャンペーンをUNC6395として追跡している脅威アクターの仕業であるとしています。
8月28日のアップデートで、GTIGはこのキャンペーンの影響が当初の想定よりも広範囲に及んでおり、Google Workspaceの顧客も被害を受けていることを明らかにしました。
「2025年8月28日、当社の調査により、攻撃者が『Drift Email』統合のOAuthトークンも侵害していたことが確認されました。2025年8月9日、脅威アクターはこれらのトークンを使用して、ごく少数のGoogle Workspaceアカウントのメールにアクセスしました」とGTIGは述べています。
Googleの脅威インテリジェンス部門によると、影響を受けたのはSalesloftと統合するように特別に設定されたWorkspaceアカウントのみであり、攻撃者は影響を受けた顧客のWorkspaceドメイン内の他のアカウントにはアクセスできなかったとしています。
Googleは、このキャンペーンによる影響を特定した直後に、Drift EmailアプリケーションのOAuthトークンを無効化し、Salesloft DriftとのWorkspace統合も停止しました。
「影響を受けたすべてのGoogle Workspace管理者に通知しています。明確にしておくと、Google WorkspaceやAlphabet自体が侵害されたわけではありません」とGTIGは述べています。
広告。スクロールして続きをお読みください。
Googleによると、Driftを利用しているすべての組織は、サードパーティ統合を見直し、認証情報をローテーションし、接続されたシステムに侵害の兆候がないか確認すべきです。
「この侵害の範囲はSalesforceとSalesloft Driftの統合に限定されず、他の統合にも影響を及ぼしています。現在、すべてのSalesloft Driftの顧客に対し、Driftプラットフォームに保存または接続されているすべての認証トークンが侵害された可能性があるものとして扱うことを推奨します」とGTIGは述べています。
一方、Salesloftは、APIキーを通じてサードパーティアプリケーションとのDrift接続を管理している顧客に対し、これらのキーを無効化し、新しいキーで再接続するよう通知しました。
「これらの対応はサードパーティプロバイダーのアプリケーション内で直接行う必要があります。現在接続されている統合の一覧は、Drift管理者設定で確認できます」とSalesloftは述べています。
同社は、組織が侵入を検知できるように侵害の指標(IOC)を共有し、MandiantおよびCoalitionと協力してインシデントの調査と対処、プラットフォームの整合性の検証を進めていると発表しました。
「Salesforceや他のサードパーティパートナーと連携し、できるだけ早くSalesloft統合の復旧を進めています」とSalesloftは木曜日に述べました。
関連記事: 数百のSalesforce顧客が大規模なデータ窃取キャンペーンの被害に
関連記事: セキュリティポスチャーマネジメントの解明