出典:Mark Fagelson(Alamy Stock Photo経由)
ZscalerとPalo Alto Networksは、Salesforceプラットフォームを利用した広範なサプライチェーン攻撃によって侵害された組織のリストに加わりました。
先月初めより、UNC6395として追跡されている脅威アクターがマーケティングSaaS製品のSalesloft Driftを侵害し、Salesforce連携からOAuthおよびリフレッシュトークンを盗み、特定のSalesloft顧客環境のデータにアクセスしました。Salesloftはこのインシデントを8月20日に公表し、6日後にさらなる詳細を発表しました。8月8日から18日にかけて「脅威アクターがOAuth認証情報を使用して、顧客のSalesforce環境からデータを流出させた」としています。
Salesloftは、Drift内の有効なアクセスおよびリフレッシュトークンを無効化し、影響を受けた顧客に通知、さらにMandiantとCoalitionを雇いインシデント対応を支援させました。8月28日、Google(Mandiantの親会社)は、インシデントの規模を踏まえ「すべてのSalesloft Drift顧客は、Driftプラットフォームに保存または接続されているすべての認証トークンが侵害された可能性があると考えるべき」と勧告しました。加えて、Googleの研究者は他のSalesloft連携(Salesforce以外)も影響を受けている可能性があると述べています。
Salesforceは8月28日のウェブサイト更新で、すべてのSalesloftとSalesforceの連携を当面の間無効化したと発表しました。
8月26日時点でSalesloftは悪意ある活動の継続的な証拠は見られないと述べていましたが、その後複数の顧客が被害を公表し、サプライチェーンインシデントの影響を受けたと主張しています。その中には、セキュリティ大手のZscalerとPalo Alto Networksが含まれています。
ZscalerおよびPANが限定的なデータ侵害を公表
8月30日、ZscalerのCISOであるSam Curryはブログ記事を公開し、UNC6395の攻撃キャンペーンの一環として「不正なアクターがZscalerを含むSalesloft Drift顧客の認証情報にアクセスし、これらの認証情報により一部のZscaler Salesforce情報への限定的なアクセスが可能になった」と明らかにしました。
脅威アクターは、氏名、業務用メールアドレス、役職、電話番号、地域/所在地の詳細、Zscaler製品のライセンスおよび商業情報、特定のサポートケースの平文コンテンツなどのデータにアクセスしました。その範囲については、Zscalerが別途発表しており、「多くの顧客が含まれる」としつつも、Curry氏は「徹底的な調査の結果、現時点でこの情報の悪用を示す証拠は見つかっていない」と強調しています。
Zscalerの広報担当者は、Curry氏のコメントとしてDark Readingに声明を共有しました。
「強調したいのは、製品、サービス、インフラストラクチャには影響がなかったということです」と声明は述べています。「私たちはこの件について早期に対応し、顧客に対して透明性を持って対応できたことを嬉しく思います。確かに、Salesloft Driftには数千の顧客がいるため、私たちだけが影響を受けたわけではありませんが、顧客に影響を伝え、質問のある方には対応しています。」
一方、Palo Alto NetworksのCISOであるMarc Benoit氏も、9月2日の公表で、PANが「数百社」のサプライチェーン攻撃被害者の一つであり、インシデントは同社の顧客関係管理(CRM)プラットフォームに限定されていたと述べました。さらに、盗まれたデータは「主に業務用連絡先情報、社内営業アカウントおよび顧客関連の基本的なケースデータ」だったとしています。
同社の広報担当者もDark Readingに声明を共有しました。
「Palo Alto Networksは、Salesloft Driftアプリケーションを標的とした大規模なサプライチェーン攻撃によってSalesforceデータが漏えいし、数百社の顧客の一つであったことを確認します。当社は迅速にインシデントを封じ込め、Salesforce環境からアプリケーションを無効化しました。Unit 42の調査により、この状況がPalo Alto Networksの製品、システム、サービスには影響しなかったことが確認されています。攻撃者は主に業務用連絡先や関連アカウント情報、社内営業アカウント記録、基本的なケースデータを抽出しました。影響を受けた顧客には直接通知を進めています。」
Salesloftはコメント要請にすぐには応じませんでした。
Salesloft/Salesforceサプライチェーン被害者への対策アドバイス
PANの公表とともに、同社はUnit 42ブログで追加情報とアドバイスを公開しました。
「我々の観測によれば、脅威アクターはSalesforceの様々なオブジェクト(アカウント、連絡先、ケース、商談記録など)から機密データを大量に流出させました。流出後、アクターは取得したデータを積極的にスキャンし、さらなる攻撃やアクセス拡大を目的として認証情報を探していた可能性があります。また、脅威アクターは自身が実行したジョブの証拠を隠すためにクエリを削除していたことも観測されています。」とUnit 42ブログは述べています。
Unit 42は、Salesloft DriftのSalesforce連携を利用している組織は、直ちにこのインシデントに緊急対応すべきだと述べています。Drift API連携(認証活動を含む)の確認、Salesforceログの侵害兆候の監査、IDプロバイダーログの確認、ネットワークフローログの分析、すべての漏えいした認証情報の見直しとローテーションが推奨されています。
Palo Alto NetworksとZscalerは、UNC3695のキャンペーンによるソーシャルエンジニアリング攻撃の可能性にも警戒するよう組織に推奨しています。Unit 42によれば、ベストプラクティスとして、未承諾の連絡には懐疑的になること、機密データや認証情報の要求はすべて確認すること、ゼロトラスト原則を活用することが挙げられます。