Salesloft Driftを発端とする広範囲な攻撃の連鎖により、Cloudflare、PagerDuty、Palo Alto Networks、SpyCloud、Zscalerなど、複数のセキュリティおよびテクノロジー企業が被害を受けています。
被害を受けた組織は次々と名乗り出ており、サードパーティAIチャットエージェントの顧客が侵害の証拠を探したり、Salesloftや対応・復旧・継続中の攻撃調査に関与する他の企業から通知を受けたりしています。
Salesloftは当初、影響はSalesforceと連携している顧客に限定されると主張していました。しかし、Google Threat Intelligence Groupと、現在Salesloftと協力しているGoogleのインシデント対応会社Mandiant Consultingは、Driftと連携しているあらゆるプラットフォームが潜在的に侵害されている可能性があると述べています。
攻撃の根本原因、特にGoogleがUNC6395として追跡している脅威グループがどのようにしてSalesloft Driftへの初期アクセスを得たのかは、いまだ確認されていません。「Salesloftプラットフォームに異常または悪意のある活動の証拠はありません」とSalesloftは土曜日の更新で述べています。
月曜日、同社は「Driftはごく近いうちにオフラインになります」と発表し、プラットフォームが利用できなくなり、顧客のウェブサイト上のDriftチャットボットも利用不可になるとしました。「これにより、アプリケーションを包括的に見直し、システムにさらなるレジリエンスとセキュリティを構築して、アプリケーションを完全な機能に戻すための最速の道筋が提供されます」と同社は付け加えています。
2024年2月にDriftを買収したSalesloftは、先週攻撃のニュースが表面化して以来、コメント要請に応じていません。
同社は、攻撃が始まった8月8日の前日に、顧客関係管理分野の競合であるClariとの合併契約を発表しました。合併発表では、統合された両社が全業界で世界中の5,000以上の組織にサービスを提供すると述べられています。
この攻撃による情報漏えいは広範な懸念を呼んでおり、顧客は進行中の災害について明確な情報を求めています。Salesloftの顧客は自社が影響を受けたかどうかを評価し、その後、どの程度自社や自社の顧客が侵害されたかを判断するためにデータを精査しています。
攻撃はすべてのSalesloft Drift顧客に影響を与えたわけではありません。CyberScoopが連絡した一部のSalesloft Drift顧客は、攻撃の影響を受けておらず、企業や顧客データが侵害された証拠も見つからなかったと確認しています。
Oktaはこのインシデントの影響を受けていないと述べましたが、Google Threat Intelligence Groupが先週共有した侵害の指標に基づき、標的となっていたことは確認しました。「脅威アクターは侵害されたトークンを使って当社のSalesforceインスタンスにアクセスしようとしましたが、その接続が許可されていないIPアドレスから発生したため、攻撃は失敗しました」と同社は火曜日のブログ投稿で述べています。
他の多くの企業は、これほど幸運ではありませんでした。
Zscalerの最高情報セキュリティ責任者であるSam Curry氏は、同社のSalesloft DriftとSalesforceの連携が不正アクセスのポイントだったと述べています。同社は他のプラットフォームともSalesloft Driftを連携していましたが、それらは影響を受けなかったと付け加えました。
Zscalerの多くの顧客データが漏えいし、氏名、業務用メールアドレス、役職、電話番号、所在地情報、Zscaler製品のライセンスおよび商業情報、一部サポートケースの平文コンテンツなどが含まれていました。
「製品、サービス、インフラストラクチャには影響はありませんでした」とCurry氏は述べています。「この件が彼らのインフラで発生したため、Salesloft DriftおよびSalesforceから他に何か発見があれば連絡を待っています。」
Curry氏は、Zscalerは無関係な理由で既にSalesloft Driftとの関係を終了するプロセスにあったとも述べています。
Palo Alto Networksも火曜日、同社もこのサプライチェーン攻撃の影響を受けた数百の組織の一つであることを認めました。同社のインシデント対応部門Unit 42は、インシデントがSalesforce環境に限定されており、Palo Alto Networksの製品やサービスには影響がなかったと付け加えました。
「流出したデータのほとんどは業務連絡先情報でした」とPalo Alto Networksの広報担当者はCyberScoopにメールで述べています。「ただし、最近のケースノートに認証情報などの機微な情報を含めていたごく一部の顧客については、そのデータも侵害された可能性があります。」
Cloudflareは、同社のサポートシステムに顧客が共有した情報(ログ、トークン、パスワードなど)も侵害されたとみなすべきだと述べました。同社は、侵害されたデータの中に104件のCloudflare APIトークンを発見し、悪用の証拠は見つからなかったものの、念のためトークンをローテーションしました。
また、Cloudflareのサービスやインフラストラクチャには一切影響がなかったとも述べています。
「私たちは、ビジネスを支えるために使用するツールの選択に責任があります」とCloudflareのセキュリティリーダーらは火曜日のブログ投稿で述べています。「この侵害はお客様を失望させてしまいました。この点について、心よりお詫び申し上げます。」
元Salesloft Drift顧客も影響を受けました。SpyCloudは、Salesforce環境の一部データが漏えいしたことを発表するブログ投稿で、かつてはSalesloftおよびDriftの顧客だったが、現在はそうではないと述べています。
Googleは以前、このデータ窃取キャンペーンが先月10日間にわたって行われ、700以上の組織に影響を与えた可能性があると述べていました。
翻訳元: https://cyberscoop.com/salesloft-drift-attacks-cloudflare-palo-alto-networks-zscaler/