- ShinyHunters(シャイニーハンターズ)は、ユーザーを欺いた上でSaaS連携を侵害することで、SalesforceにおけるOAuthの信頼関係を悪用し、トークンを窃取して数百の顧客環境へアクセスしました
- 被害組織は最大700件に上ったとの報告もあり、攻撃者は正規のAPIを介してデータを流出させたため、その活動は正常かつ継続的なものに見えました
- Microsoftはこれに対応するため、Defender for Cloud Appsをアップグレードし、より充実したテレメトリ、ほぼリアルタイムの検知機能、OAuth連携アプリケーションに対するガバナンスの強化を追加しました
サイバー犯罪グループShinyHuntersは、企業のSalesforce環境への侵入手口があまりに巧妙だったため、Microsoftはこの攻撃に対処するためだけに新たなセキュリティ強化策を導入せざるを得なくなりました。
Microsoftは明らかにしたところによると、Microsoft Defender for Cloud AppsにおいてOAuth連携アプリケーションの可視性を高め、サードパーティ連携に対するガバナンスを強化することに注力しているとのことです。今回の変更は大きく2つの分野に分けられます。検知・調査機能の改善と、新たなポスチャー(体制)およびガバナンス機能です。
これは理にかなった対応と言えます。というのも、一部の報告では、この1年間続いたキャンペーンの被害組織が最大700件に上るとされているからです。
変更点と改善内容
まず背景を整理しておきます。2025年8月、ShinyHuntersの実行犯が標的に電話をかけ、IT サポート担当者を名乗って、一見正規に見えるSalesforce Data Loaderアプリケーションの認証を承認するよう仕向けていたことが明らかになりました。このアプリは実際には攻撃者が管理するもので、公式APIを通じてSalesforceデータへアクセスできるOAuth権限を要求するものでした。
すべてが正規の認証とAPI呼び出しを通じて行われていたため、この活動は通常のユーザー行動のように見えていました。
その後の数か月間で、キャンペーンはさらに進化しました。個々の従業員を欺く手口に代わり、ShinyHuntersはSalesforceと連携するサードパーティ製SaaSプロバイダー自体を侵害するようになりました。対象にはSalesloftのDrift連携、Gainsight、そして後にKlueが含まれます。
これらのベンダーからOAuthトークンや連携用シークレットを窃取することで、攻撃者は顧客一件ごとにやり取りすることなく、数百に及ぶ下流の顧客Salesforce環境へアクセスしていました。
ある時点で、Googleは報道関係者に対し、被害を受けた可能性のある組織が700を超えることを把握していると述べました。
「Microsoftは、Defender for Cloud Appsのテレメトリの粒度を向上させるためSalesforceと協議を重ね、ほぼリアルタイムの検知機能を実現するとともに、連携アプリケーションの帰属特定機能とアプリケーション権限に関する洞察の拡充を提供しています」と同社は新たなレポートで述べています。「今回の一連の活動は、Salesforce固有の脆弱性に起因するものではありません。むしろ脅威アクターは、信頼されたOAuthの関係性を悪用し、不正アクセス、データ流出、そして持続的な足場の確保を行ったのです」
言い換えれば、Microsoftは今回、OAuth連携アプリケーションとその活動に対する可視性を高めるとともに、より充実したテレメトリと相関分析によって不審なAPI・OAuthの挙動をより的確に検知できるようにし、さらに権限分析、リスクスコアリング、ライフサイクル管理を通じて連携アプリケーションに対するガバナンスを強化したことになります。