Zscalerは、Salesforceの顧客データを標的とした大規模なサプライチェーン攻撃の最新の企業被害者であることを明らかにしました。
このセキュリティベンダーによると、第三者のSalesloft Driftアプリケーションに関連付けられたOAuthトークンが攻撃者によって盗まれ、それによりSalesforceインスタンスへのアクセスが可能になったとのことです。
週末に発表された最新情報によると、漏えいした情報には「連絡先の担当者に関する一般的に入手可能なビジネス連絡先情報および特定のSalesforce関連コンテンツ」が含まれていました。
具体的には、以下が含まれます:
- 氏名
- ビジネス用メールアドレス
- 役職
- 電話番号
- 地域/所在地の詳細
- Zscaler製品のライセンスおよび商業情報
- 一部のサポートケースからのプレーンテキストの内容(ただし、添付ファイル、ファイル、画像は含まれません)
Salesloftについて詳しくはこちら:Salesloft攻撃がGoogle Workspaceを標的に
Zscalerは、迅速にDriftアプリのSalesforceデータへのアクセスを取り消し、他のAPIアクセストークンも念のためローテーションしたと述べています。
また、今後同様のインシデントを防ぐために「追加の安全対策および強化されたプロトコル」を実施したとも述べています。
「本インシデントの範囲は限定的であり(上記の通り)、悪用の証拠は見つかっていませんが、お客様には引き続き警戒を強めていただくことを推奨します。漏えいした連絡先情報を悪用したフィッシング攻撃やソーシャルエンジニアリングの可能性にご注意ください」とZscalerは顧客に呼びかけています。
「他の組織でもSalesloft Driftに起因する同様のインシデントが発生していることから、未承諾の連絡(メール、電話、機密情報の要求など)には十分ご注意ください。連絡元を必ず確認し、非公式なチャネルでパスワードや財務情報を絶対に開示しないでください。」
ちょうど昨日、Infosecurityは、同じキャンペーンがSalesloft DriftとのSalesforce連携だけでなく、「ごく少数」のGoogle Workspaceアカウントも標的にしていたと報じました。
この攻撃は、UNC6395として追跡されている脅威アクターによるものと考えられており、8月8日から8月18日の間に「多数」のSalesforce顧客インスタンスを標的とし、大量のデータを流出させました。数百社の法人顧客が影響を受けた可能性があります。
このキャンペーンの規模や運用の徹底ぶりから、一部では国家による関与があったのではないかとの疑問も出ています。
画像クレジット:CryptoFX / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/zscaler-customer-info-taken/