攻撃者は盗まれたシークレットを利用して統合を乗っ取り、顧客データへアクセス。企業は接続アプリの監査とトークン衛生の徹底が必要であることが浮き彫りに。
Salesforceは、第三者アプリケーションの侵害を通じて顧客データへの不正アクセスが発生した新たなセキュリティインシデントを公表しました。今回は、OAuth統合を通じて同社プラットフォームに接続されたGainsight発行アプリが関与しています。
Salesforceによると、同社の顧客関係管理プラットフォームと統合されているGainsightアプリケーションに関連する異常な活動を検知したとのことです。「この活動を検知した際、SalesforceはGainsight発行アプリケーションに関連するすべての有効なアクセスおよびリフレッシュトークンを無効化し、調査が継続される間、これらのアプリケーションをAppExchangeから一時的に削除しました」とSalesforceの広報担当者はCSOに語りました。
同社は、この問題が自社プラットフォームに起因するものではないことを強調しました。「この問題がSalesforceプラットフォームの脆弱性に起因するという証拠はありません」と広報担当者は付け加えました。「この活動はアプリの外部接続に関連しているようです。」
Gainsight、フォレンジック調査のためMandiantと連携
Gainsightはステータスページの更新でこのインシデントを認め、Google Cloud傘下のサイバーセキュリティ企業Mandiantと連携し、包括的なフォレンジック調査を実施していると述べました。
「現在の調査結果では、問題となっている活動はアプリケーションの外部接続から発生しており、Salesforceプラットフォーム内の問題や脆弱性によるものではありません」と同社は木曜日の更新で述べています。
カスタマーサクセスソフトウェアベンダーである同社は、Salesforce経由でのGainsightへのアクセスが依然として利用できないことを認めました。予防措置として、GainsightはZendeskコネクターのアクセスも無効化し、同社のアプリはHubSpot Marketplaceからも一時的に削除されたことを明らかにしました。
Google脅威インテリジェンス、攻撃をShinyHuntersに関連付け
この公表は、Salesforceと信頼された第三者SaaS統合のOAuthトークンを標的とした攻撃がエスカレートしている中での最新の事例となります。Google Threat Intelligence Groupの主任脅威アナリストであるAustin Larsen氏によると、このキャンペーンはShinyHuntersと関連する脅威アクターによるものです。この悪名高い恐喝グループは、ここ数か月の間にSalesforceエコシステムを繰り返し標的にしてきました。
「Google Threat Intelligence Groupのチームは、ShinyHuntersと関連する脅威アクターが第三者のOAuthトークンを侵害し、Salesforce顧客インスタンスへの不正アクセスを試みているのを観測しています」とLarsen氏はLinkedIn投稿で述べました。「SalesforceとMandiantは、影響を受ける可能性のある組織に積極的に通知しています。」
Larsen氏は、このインシデントが最近のSalesloft Driftを標的としたキャンペーンと類似していると指摘しています。そこでは、攻撃者が正規SaaS統合のOAuthトークンを悪用し、従来のセキュリティ制御を回避しました。
DataBreaches.netによると、ShinyHuntersはGainsightキャンペーンへの関与を認め、SalesloftおよびGainsightキャンペーンの合計で約1,000の組織が影響を受け、被害者にはVerizon、GitLab、F5、SonicWallなどが含まれていると主張しています。
しかし、SalesforceもGainsightもこのインシデントをShinyHuntersの仕業とは断定していません。
8月の侵害が連鎖的な攻撃を可能に
今回のインシデントと8月の侵害との技術的な関連性は、SaaSセキュリティプラットフォームであるNudge Securityの分析によって明らかになりました。Nudge Securityのセキュリティアラートによると、ShinyHuntersはSalesloft/Driftのサポートケースデータから盗まれたシークレットを通じてGainsightのOAuthトークンを入手。これらの侵害されたトークンを使い、攻撃者はGainsightに連携された最大285のSalesforceインスタンス用のリフレッシュトークンを発行したとされています。
8月のSalesloft Drift侵害では、約760社がデータ窃取の危険にさらされ、攻撃者はOAuthトークンを盗み、数百の組織にわたるSalesforceインスタンスへアクセスしました。被害者にはGoogle、Cloudflare、Qantas、Cisco、TransUnionなどの大手企業が含まれていました。Gainsight自身もその初期キャンペーンの被害者の一つでした。
SaaS統合におけるサプライチェーンリスク
Gainsightは、エンタープライズのSalesforce顧客の間で広く導入されているカスタマーサクセスプラットフォームで、Salesforceと直接連携し、顧客データの同期やエンゲージメントワークフローの自動化ツールを提供しています。これらの統合には通常、アカウント情報、連絡先レコード、商談データ、利用状況メトリクスなどへのOAuthアクセスが必要で、ヘルススコアリングやリテンション分析に利用されます。
このインシデントは、SaaS統合のサプライチェーンがもたらすリスクの高まりを浮き彫りにしています。単一のベンダーが侵害されることで、数十の下流環境への侵入口となり得るのです。
CISOやセキュリティチームに対し、Larsen氏はGainsightインシデントにとどまらない即時対応の必要性を強調しました。「すべての組織は、これをSaaS環境の監査のシグナルと捉えるべきです」と述べ、セキュリティチームはSalesforceインスタンスに接続されたすべての第三者アプリケーションを定期的に見直し、未使用または疑わしいアプリのトークンを調査・無効化し、異常な活動が検出された場合は侵害を前提に対応すべきだと推奨しています。
これらの攻撃が有効なのは、OAuthトークンが従来の認証レイヤーの下で機能するためだと、Greyhound Researchの主任アナリスト兼CEOであるSanchit Vir Gogia氏は指摘します。「OAuthトークンの漏洩は、現代のSaaSエコシステムにおいて最も危険な攻撃ベクトルの一つです。なぜなら、防御を突破するのではなく、信頼を悪用するからです」とGogia氏は述べています。「攻撃者がトークンを取得すると、APIレイヤーで正規アプリやユーザーになりすますことができ、多くの企業が最も監視を行っていない部分で活動できてしまいます。」
Gogia氏は、ほとんどのOAuthトークンは長期間有効で、期限切れがなく、管理者が認識しているよりも広範な権限を持つ場合が多いと指摘します。「これらのトークンはインフラとして機能し、監視されているユーザーアカウントではないため、侵害されると長期間にわたる静かな高価値データの持ち出しが可能になります。攻撃は典型的な侵入のようには振る舞わず、正当性を継承した形で活動するため、特に検知が難しいのです。」
