Klueアプリ侵害を経由したSalesforceデータ窃取が継続

サードパーティアプリとの統合機能を悪用した脅威アクターによるSalesforceインスタンスへの侵害が、今回はKlueのBattlecardsアプリを通じて引き続き発生しています。

この攻撃は、Salesforceの顧客を標的とした一連の侵害の最新事例です。6月17日、CRMベンダーがセキュリティインシデントへの対応としてBattlecardsとの連携を停止したことで明らかになりました。 

「Salesformaがこの措置を取ったのは、当社のセキュリティチームがアプリに関する異常な活動を最近検知したためです。この活動により、アプリのSalesforceへの接続を通じて一部の顧客データに不正アクセスが発生した可能性があります」と同社はアラートの中で述べました。「この問題はKlueのアプリ接続に限定されており、Salesforceプラットフォーム内の脆弱性に起因するものではありません。」

昨日のブログ投稿で、ReliaQuestが確認したところによると、脅威アクターはKlueのOAuthトークンを使用してSalesforceインスタンスへのアクセスを取得し、顧客データを窃取しました。ReliaQuestの研究者たちはまた、サードパーティアプリ統合を悪用した過去の攻撃と類似するパターンを指摘しています。 

「この活動は、2025年から2026年にかけてSalesforceエコシステムを揺るがしたSalesloft DriftおよびGainsightへの侵害の背後にある、サードパーティOAuth悪用のプレイブックと同一のものです。信頼されたSaaS（Software as a Service）統合が、機密データへのアクセスを可能にする価値の高い一方で監視が手薄な経路であり続けることを、改めて裏付けています」とReliaQuestのブログ投稿は述べています。

最新のSalesforce侵害：Klue侵害を起点に

ReliaQuestが観察した攻撃では、脅威アクターは侵害されたKlueの統合サービスアカウントを通じて認証を行い、顧客の統合済みSalesforceインスタンスへのアクセスを付与するOAuthトークンを生成しました。その後、攻撃者はPythonスクリプトを自動化してSalesforce REST APIを通じてデータを窃取し、この一連の操作はおよそ24時間以内に実行されました。 

ReliaQuestの研究者によると、攻撃には少なくとも1つの環境に対する「15分以内の約1,000件にのぼる集中的なクエリの急増」が含まれており、6時間以上にわたって継続的なデータ窃取が行われました。「最初の段階が目立たないよう設計されたゆっくりとした安定した取得であったのに対し、この急増は隠密性をスピードと引き換えにしており、時間的プレッシャーか、あるいは特定レコードへの標的絞り込みへの切り替えを示唆しています」と研究者たちは記しています。

ReliaQuestの広報担当者はDark Readingに対し、この24時間という時間枠は攻撃が中断された結果ではなく、一括抽出オペレーションと整合性があると述べました。「攻撃者は利用可能なデータを列挙し、アクセスできるものを抽出して、入手後に次のターゲットへと移ったと思われます」と広報担当者は述べています。「同じ時間帯に、攻撃者がツールを設定しながら他のターゲットからのデータ窃取も並行して行っていた可能性もあります。」

最新の攻撃で何社のSalesforce顧客が影響を受けたかは現時点では不明ですが、少なくとも1社が自社のSalesforceデータが侵害されたことを公表しています。本日のブログ投稿で、サイバーセキュリティベンダーのHuntressは攻撃者がデータをコピーしたと述べており、そのデータには「ビジネスコンタクト、見積もり、その他の営業関連データおよびメッセージング」が含まれています。

Huntressはまた、この脅威活動を「重大なサプライチェーン攻撃」と呼び、さらなる詳細を明らかにしました。同社によると、脅威アクターはKlueのマーケットインテリジェンスプラットフォームのバックエンドシステムに侵入しました。 

「Klueへの侵害は6月11日に始まりました。この日、他のソフトウェアプラットフォームとの各種統合に接続するシステムで異常な動作が発生しました」とブログ投稿は述べています。「攻撃者は、Klueの顧客が自社システムとKlueを接続する際に使用するOAuthトークンを収集できるコードアップデートを配布しました。」

Huntressによると、Klueへの侵害は「長期間使用されていなかったが依然として有効な認証情報」に起因すると思われます。この認証情報は、最終的には展開されることのなかったサードパーティ統合のテスト用にKlueが当初作成したものでした。攻撃者はこの認証情報を使用してKlueの環境へのアクセスを取得しました。

HuntressはKlueが6月12日に悪意ある活動を認識したと述べ、迅速な対応と状況に関する継続的な情報開示（閲覧にはKlueアカウントが必要）について同社を高く評価しました。Huntressによると、Klueは「すべての顧客のOAuth認証情報を迅速に無効化」し、Salesforceとの統合を無効化したほか、HubSpot、Microsoft SharePoint、Zoom、Google Driveを含む複数の他のアプリとの連携も停止しました。

Dark ReadingはKlueにコメントを求めましたが、締め切り時点で同社からの回答はありませんでした。

Salesforce攻撃、Icarus恐喝グループとの関連が浮上

過去のSalesforce攻撃はShinyHuntersサイバー犯罪グループに関連した脅威アクターが担っていましたが、最新の攻撃の波は別のグループ「Icarus」による可能性が高いと見られています。 

6月16日、Huntressは脅威アクターからメールを受信しました。メールには、窃取したSalesforceデータを所持しており、Huntressが「正しい判断を下さない」場合は24時間以内に公開すると記されていました。恐喝メールにはSessionと呼ばれるコミュニケーションプラットフォームの固有キーが含まれており、被害者が身代金の交渉を行うためのものと思われます。 

Huntressは、メール内のSession Messenger IDが、4月に脅威の場に初めて登場した新興脅威グループIcarusのダークウェブリークサイトに記載された値と一致することを発見しました。Icarusのリークサイトには現在1件の被害者が掲載されていますが、6月12日に公開された「ニュース」投稿には「大企業がリストアップされる。準備しておけ」と記されています。

さらにHuntressは、受信したメールがGlobal Retail Brandsというオーストラリアの家電・家庭用品小売業者の3つの企業メールドメインから送信されていたことを発見しました。同社の調査担当者は、Icarusのアクターがこの小売業者のインフラを侵害し、そのメールサーバーを悪意ある目的に利用していると見ています。Huntressはこの活動をオーストラリアサイバーセキュリティセンターに報告しました。

侵害に関する調査が続く中、ReliaQuestは組織に対し、「サービスアカウントのパスワード、リフレッシュトークン、クライアントシークレット、有効なOAuth付与を含む、Klue統合に関連するすべての認証情報」を直ちに失効・再発行するよう求めました。また同社は、セキュリティチームに対してSalesforce APIのアクティビティを確認し、REST APIクエリ量の異常やその他の不審な動作を調査するとともに、サードパーティ統合アカウントおよび接続アプリにIPアローリストを適用して承認済みソース以外からのアクセスをブロックするよう推奨しています。