Microsoft、ShinyHuntersがOAuthトークンを悪用してSalesforceへの持続的アクセスを維持していると警告

Microsoftは、ShinyHunters恐喝グループに関連する手口を用いる脅威アクターが、信頼されたOAuth連携を悪用してSalesforce環境への持続的アクセスを獲得し、CRMデータを窃取するとともに、従来のサインイン検知を回避していると警告しました。

これらのキャンペーンは202520252025年半ばから202620262026年半ばにかけて観測されており、小売、教育、製造業をはじめとする複数の業種の組織に影響を及ぼしています。

Microsoftによると、今回の活動はSalesforce自体に内在する脆弱性に起因するものではないとのことです。攻撃者は代わりに、許可済みアプリケーション、サードパーティ連携、そして脆弱なゲストユーザー設定を悪用し、正規のクラウドワークフローを通じて活動していました。

攻撃者は主に3つの侵入経路に依存していました。ユーザーをだまして悪意あるOAuthアプリケーションを承認させるボイスフィッシング、SaaSサプライチェーン連携の侵害、そしてSalesforce Experience Cloudのゲストアクセスの悪用です。

あるビッシング(音声フィッシング)キャンペーンでは、攻撃者はITサポート担当者になりすましました。そして従業員を説得し、Salesforce Data Loaderに偽装した悪意ある連携アプリケーションを承認させました。

承認されると、このアプリはOAuth権限を取得し、被害者ユーザーとしてAPIリクエストを実行できるようになりました。これにより攻撃者は、Salesforceインスタンスの列挙、CRMレコードの照会、アクセスの維持、そして他のSaaSサービスの認証情報の発見までも行える可能性がありました。

Microsoftは、この手法がマルウェアの展開や認証情報の窃取を必要としない点を指摘しています。この活動は正規のユーザー権限を用いた許可済みアプリケーションから発生するため、通常のSalesforce API活動と見分けがつきにくいのです。

同グループはまた、顧客のSalesforceテナントに対してすでに信頼されたOAuth連携を持つ統合機能を悪用し、SaaSサプライチェーンも標的にしました。

2025年8月には、攻撃者は侵害されたSalesloft Driftの認証情報を使って接続シークレットを取得し、複数の下流Salesforce環境へのOAuthトークンへのアクセスを可能にしました。

202520252025年11月には、Salesforceに接続されたGainsight公開アプリケーションが関与する別のキャンペーンも確認されています。さらに最近では、Microsoftは市場インテリジェンス企業Klueで202620262026年6月に発生したインシデントを、同様の活動に関連付けています。

Storm-3138として追跡されている脅威アクターは、顧客のSalesforceインスタンスに接続するための認証情報に不正アクセスした疑いがあり、それを利用してデータの発見、照会、そして窃取を行ったとされています。

Microsoftによると、同社はSalesforceと協力し、Microsoft Defender for Cloud AppsのSalesforceコネクタで利用可能なテレメトリを改善したとのことです。Salesforce Shield Event Monitoringを利用している顧客は、SalesforceのReal-Time Event Monitoringフレームワークを通じて、ほぼリアルタイムで活動を可視化できるようになりました。

更新されたコネクタには、連携アプリの帰属特定、OAuthスコープの詳細、拡張されたAPIおよびセッションコンテキスト、そしてID・SaaSアプリケーション・不審なインフラ間の相関分析の強化などが追加されています。

これらの機能は、セキュリティチームが通常の連携活動と潜在的なOAuth悪用とを区別できるよう支援することを目的としています。

注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無効化表記(defang、例: [.])しています。再有効化(re-fang)は、MISP、VirusTotal、あるいは自組織のSIEMなど、管理された脅威インテリジェンス基盤内でのみ行ってください。

翻訳元: https://cyberpress.org/shinyhunters-exploit-salesforce-oauth/

ソース: cyberpress.org