TokyoBlackHatNews

gbhackers.com 5分で読了

OAuthトークンを悪用したKlueインテグレーション経由のSalesforce CRMデータ窃取

2026年6月17日にReliaQuestが公開した最新調査によると、ハッカーらは侵害されたKlue BattlecardsインテグレーションをOAuthトークンで悪用し、Salesforce CRMの機密データを積極的に窃取しています。

この攻撃キャンペーンは、攻撃者が信頼された第三者SaaSインテグレーションを企業環境への侵入口として利用するという、増大しつつあるトレンドを浮き彫りにしています。主にユーザーアカウントやエンドポイントの活動に焦点を当てた従来のセキュリティ対策を、巧みに回避する手口です。

KlueインテグレーションへのOAuth悪用攻撃

ReliaQuestの研究者が明らかにしたところでは、脅威アクターはKlueインテグレーションのサービスアカウントにアクセスして有効なOAuthトークンを生成し、これを利用してSalesforce環境に直接認証を行いました。

攻撃者はPython-urllibのユーザーエージェント文字列で識別可能な自動化スクリプトを使用し、/services/data/v59.0/sobjects/queryなどSalesforceのREST APIエンドポイントに組織的にクエリを送信することで、大量のCRMデータを列挙・抽出しました。

この活動は長時間にわたって継続し、場合によっては約24時間に及びました。高頻度クエリのバーストは15分間で約1,000リクエストに達することもありました。このパターンは、慎重なデータ収集から迅速な一括抽出へのシフトを示しており、作戦上の緊急性や特定データセットの標的化が背景にあると見られます。

窃取されたデータには、侵害されたインテグレーションの範囲と権限によっては、アカウントレコード、顧客連絡先情報、販売パイプラインの詳細、価格情報などが含まれる可能性があります。

ReliaQuestはデータの外部流出を確認していますが、影響を受けたレコードの全容と攻撃者の最終的な目的については現在も調査中です。なお、現時点では恐喝要求や公開データリークは確認されていません。

この事案は、2025年から2026年にかけて観測されているSalesforceを標的としたOAuth悪用キャンペーンの大きな波と密接に符合しています。Salesloft、Drift、GainsightなどのプラットフォームへのSaaSインテグレーションを標的として企業の機密データを収集することで知られるShinyHuntersやUNC6395などの脅威グループによる過去のOAuthの悪用キャンペーンとの関連も指摘されています。

ただし研究者らは、今回の攻撃で使用されたツールやインフラ(汎用Pythonライブラリやデータセンターホステッドのアドレスなど)が、python-requestsやTorベースのルーティングを活用した以前のキャンペーンとは異なるとして、帰属の特定には至っていないと注意を促しています。

この攻撃を可能にした重要な要因は、第三者インテグレーションに対して本質的に付与されている信頼です。これらのインテグレーションは、永続的なOAuthアクセスと多くの場合広範な権限を持つ、非人間型アイデンティティとして機能します。

しかし、ユーザーアカウントと同等の厳密さで監視されることはほとんどありません。その結果、これらのチャネルを通じた悪意ある活動は正当なAPIトラフィックに紛れ込み、攻撃者は長期間にわたって検知されることなく活動できます。

この事案を受けてSalesforceは、予防措置として全顧客環境でKlue Battlecardsインテグレーションを無効化しました。問題はSalesforce自体の脆弱性ではなく第三者アプリケーションに起因するとしています。

Klueや類似のインテグレーションを使用している組織は、OAuthアクセストークン・リフレッシュトークン・クライアントシークレット・サービスアカウントパスワードを含むすべての関連認証情報を直ちに無効化・ローテーションすることを強く推奨します。

セキュリティチームはまた、過剰なクエリ量、繰り返されるページネーションリクエスト、異常なユーザーエージェント文字列、不審なIPアドレスからのアクセスなどの異常を特定するため、Salesforce APIログの徹底的な調査を実施してください。

インテグレーションアカウントに対する厳格なIPアローリストの実装と、信頼できるインフラへのAPIアクセス制限により、リスクをさらに低減できます。

ReliaQuestは、攻撃者がマルウェアを展開するのではなくアイデンティティ層やAPI層を悪用するケースが増えているとして、組織はSaaSインテグレーションの継続的な監視を防御戦略に組み込む必要があると強調しています。

OAuthの悪用がスケーラブルかつ効果的であることが証明されており、Salesforceに接続されたエコシステムを標的とした類似の攻撃は2026年を通じて継続すると予想されます。

IOC(侵害の痕跡)

アーティファクト 詳細
138.226.246[.]94 IPアドレス
212.86.125[.]24 IPアドレス
213.111.148[.]90 IPアドレス
94.154.32[.]160 IPアドレス

注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化(例:[.])されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してください。

翻訳元: https://gbhackers.com/hackers-exploit-klue-integration-to-steal-salesforce-crm-data/

ソース: gbhackers.com
#APIセキュリティ #CRMデータ窃取 #Klue #OAuth #SaaSインテグレーション #Salesforce #サプライチェーン攻撃 #データ漏洩 #脅威インテリジェンス #非人間型アイデンティティ

関連記事

新型クリプトクリッパー、Windows Script HostとActiveXObjectを利用してリモートコード実行を実現

iPhoneのBootROM脆弱性、Apple SoC信頼チェーン全体の侵害への道を開く

大規模なSocGholishマルウェア摘発作戦——当局が106台のサーバーと101のドメインを押収