TokyoBlackHatNews

helpnetsecurity.com 4分で読了

Klueへの侵害がSalesforceデータ窃取に連鎖、Huntressも被害

サイバーセキュリティベンダーのHuntressは、市場インテリジェンスプラットフォーム「Klue」を起点とした侵害で被害を受けた複数企業のうちの一社です。KlueはCRMや営業データをさまざまなビジネスツールと統合するために利用されていました。

Huntressは6月18日、この事件の詳細を公開し、一つの認証情報が侵害されたことに端を発し、Salesforceを含む複数の連携プラットフォームにわたって顧客データの窃取へと連鎖した「セキュリティのドミノ効果」として説明しています。

攻撃のタイムライン

Huntressのレポートによると、攻撃者はまず6月11日、長期間使用されていなかったAPIクレデンシャルを悪用してKlueのバックエンドインフラへのアクセスに成功しました。このクレデンシャルは、かつて放棄されたサードパーティ統合プロトタイプのために作成されたものでした。

攻撃者はその後、Klue顧客がSalesforce、HubSpot、SharePoint、Zoom、Gong、Chorus、Clari、Google Drive、Slackなどのサービスへの接続に使用していたOAuthトークンを収集するための悪意あるコードアップデートをプッシュしました。

窃取されたトークンは、顧客のCRMシステムに直接クエリを発行してデータを外部へ持ち出すために使用されました。

「Klueのスタッフはリモートアクセスを無効化し、サーバーからトークン窃取コードを削除した上で、6月13日に顧客へ一般的なアラートを発行しましたが、その通知にはどの顧客が影響を受けたかは示されていませんでした」とHuntressは述べています

「しかし6月16日、一部のHuntress社員の受信箱に『極秘メール』という件名のメールが届き始めました。そこには『あなたのデータはダウンロードされました…48時間以内に連絡しなければ』という警告が記されていました。」

Huntressが受け取った恐喝メール(出典:Huntress)

現時点で、被害を公式に認めた企業はHuntressのみです。

Huntressは今回の攻撃を、2026年4月下旬から活動している恐喝グループ「Icarus」によるものとしており、恐喝メールとグループのダークウェブ上のリークサイトの両方で一致するSession Messenger IDが確認されたことをその根拠としています。

攻撃者が持ち出したのは取引先の連絡先、見積もり情報、その他の営業関連データやメッセージに限られており、脅威データ、パスワード、クレジットカード情報、Huntressエージェントやテレメトリーにかかわるエンジニアリングデータは含まれていないとHuntressは説明しています。また、自社の製品やインフラへの影響はないとも強調しています。

同社は侵害の痕跡(IoC)を共有するとともに、他のKlue顧客に対してもログの確認、影響を受けたベンダーへのアクセス記録の請求、侵害された統合に紐づくアクティブセッションの失効を検討するよう推奨しています。

SalesforceがKlueアプリとの接続を遮断

水曜日、Salesforceはアプリに関する不審なアクティビティを検知したとして、「個々の顧客がインストールしているKlue Battlecardsアプリとのサービス間接続を無効化した」と発表しました

「これにより、追ってお知らせがあるまで、このアプリ経由でのSalesforce接続はご利用いただけません」と同社は説明しています。

木曜日、Klue CEOのJason Smithは、不正アクティビティを検知して以降、影響を受けたクレデンシャルとトークンを失効させ、攻撃者がプッシュした不正コードを削除し、影響の可能性がある統合を無効化した上で、調査を開始したと述べました。

法執行機関への通報も完了したと明らかにし、影響を受けた顧客にはすでに連絡を取り、各社のインシデント対応に役立つ情報を提供したとしています。

「現時点の調査では、今回のインシデントは影響を受けたサードパーティプラットフォームに限定されており、Klueプラットフォーム内に保存された顧客コンテンツへの影響を示す証拠はありません」と同氏は付け加え、今後はセキュリティ管理の強化、クレデンシャル管理プラクティスの改善、監視能力の向上、デプロイプロセスの見直しを進める方針を示しました。

今回の侵害は、Salesforce本体ではなく信頼された外部統合を標的とする攻撃者の広範なパターンの一部です。2025年を通じて、OAuthを悪用したキャンペーンがSalesforceと連携する他のSaaSインテグレーション、具体的にはDriftGainsightを次々と標的にしてきました。

翻訳元: https://www.helpnetsecurity.com/2026/06/19/klue-salesforce-data-breach-huntress/

ソース: helpnetsecurity.com
#Huntress #Klue #OAuthトークン窃取 #SaaSセキュリティ #Salesforce #クレデンシャル管理 #サードパーティ統合 #サプライチェーン攻撃 #データ侵害 #恐喝グループIcarus

関連記事

GitHub・YouTube・VirusTotalを悪用した暗号資産窃取マルウェアキャンペーンの実態

交通信号はもう時代遅れ——GoogleのreCAPTCHAが手のジェスチャー認証を導入

Splunk Enterpriseで認証不要のRCEが悪用中(CVE-2026-20253)