2026年6月、脅威アクターが侵害されたKlue Battlecardsインテグレーションを悪用し、企業環境からSalesforce CRMデータを密かに窃取しました。正規のAPIチャネルを通じてOAuthトークンと自動化されたPythonスクリプトを駆使して大量のレコードを抜き取りながら、従来のセキュリティ監視の目をかいくぐっていました。
ReliaQuestの研究者は、攻撃者が侵害されたKlueインテグレーションのサービスアカウントを通じて認証を行っていることを確認しました。KlueはバトルカードおよびWin/Lossデータ(商談の勝敗情報)をSalesforceと同期させる競合インテリジェンスプラットフォームです。攻撃者はOAuthトークンを生成し、Python-urllibというユーザーエージェント文字列で識別可能な自動化Pythonスクリプトを展開していました。
攻撃チェーンは、GET /services/data/v59.0/sobjectsによるオブジェクトカタログの列挙から始まり、Salesforceのクエリエンドポイント(/services/data/v59.0/query)に対するループ状のREST APIクエリへと続きました。結果はQueryMoreカーソルでページング処理され、ほぼ24時間にわたって断続なく実行されました。
データの流出は2つの明確なフェーズに分かれていました。第1フェーズは、正規のインテグレーショントラフィックに紛れ込むよう設計された、低速かつ持続的な抽出です。
第2フェーズでは、15分以内に約1,000件のクエリを集中して実行するバーストに切り替わりました。これは時間的なプレッシャー、あるいは高価値レコードへの絞り込み攻撃へのシフトを示唆しています。別の環境では、6時間にわたってデータ抽出が継続されました。
Salesforceはその後、封じ込め措置として影響を受けたすべての顧客環境でKlue Battlecardsアプリの接続を無効化しました。また、今回の問題はコアプラットフォームの脆弱性ではなく、インテグレーション層に起因することを確認しています。
この攻撃は、2025年から2026年にかけてSalesforceエコシステムを標的とした一連のサードパーティOAuth悪用キャンペーンと酷似しています。
2025年6月には、脅威グループ「ShinyHunters」がボイスフィッシング(ビッシング)を利用して従業員を騙し、悪意のある接続アプリを承認させた上で、Salesforceデータを大量に抽出して恐喝を行いました。
2025年8月には、UNC6395として追跡されているグループがSalesloft DriftインテグレーションからOAuthリフレッシュトークンを窃取し、数百の組織にわたってSalesforceへのクエリを実行しました。これは今回のKlue事案に最も近い既知の類似事例です。
3件のインシデントに共通するパターンは同一です。信頼された第三者SaaSベンダーのOAuthトークンや認証情報を悪用するもので、インテグレーションのサービスアカウントが持続的かつ広範なAPIアクセス権を保持しながら、従業員アカウントと比べて監視が手薄になりやすいという特性を突いたものです。
CRMデータの大量窃取という手法やPythonベースのツールはShinyHuntersの既知の手口と重複していますが、研究者らはいくつかの重要な相違点を指摘しています。
UNC6395に関連するアクティビティではpython-requestsやSalesforce-Multi-Org-Fetcherといったユーザーエージェントが使用され、トラフィックはTor経由でルーティングされることが多かったのに対し、Klue事案ではデータセンターホスティングと組み合わせた汎用的なPython-urllib文字列が使用されていました。
現時点では、恐喝要求やリークサイトへの投稿は確認されていません。ShinyHunters、UNC6395、あるいはまったく別の攻撃者への帰属については、依然として判断が保留されています。
今回のインシデントには、CVEが割り当てられた脆弱性は関与していません。攻撃者は事前に承認済みのインテグレーションを通じて有効または窃取したOAuth認証情報を利用しており、いわば「扉はすでに開いていた」状態だったため、エクスプロイトは不要でした。
ReliaQuestは、OAuthを悪用する手口が再現性・有効性ともに高く、すでに複数の脅威アクターエコシステムに広く普及していることから、2026年末にかけてサードパーティのSalesforce連携インテグレーションへの攻撃が継続する可能性は極めて高いと評価しています。
注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク生成を防ぐため、意図的にデファング処理(例: [.])が施されています。MISP、VirusTotal、またはSIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してください。
翻訳元: https://cyberpress.org/hackers-breach-klue-integration/
