Salesforceは、顧客を標的とした新たなデータ窃取攻撃を調査する中で、Gainsightが提供するアプリケーションに紐づくリフレッシュトークンを失効させたと発表しました。
同クラウドベースソフトウェア企業は、この問題は自社の顧客関係管理(CRM)プラットフォームの脆弱性に起因するものではないとし、すべての証拠から、悪意ある活動はアプリのSalesforceへの外部接続に関連していると見られると述べました。
「Salesforceは、顧客によって直接インストールおよび管理されている、Salesforceに接続されたGainsight提供アプリケーションに関する異常な活動を確認しました。我々の調査によると、この活動により、アプリの接続を通じて一部顧客のSalesforceデータへの不正アクセスが可能になった可能性があります」と、Salesforceは木曜朝のアドバイザリで述べています。
「この活動を検知した時点で、Salesforceは、Salesforceに接続されたGainsight提供アプリケーションに関連するすべての有効なアクセスおよびリフレッシュトークンを失効させるとともに、調査が継続している間、これらのアプリケーションを一時的にAppExchangeから削除しました。」
Salesforceは、このインシデントの影響を受けたすべての顧客に通知しており、さらなる支援が必要な場合はSalesforce Helpチームに連絡するよう助言しています。
同社はこれらの攻撃に関する詳細をまだ明らかにしていませんが、このインシデントは2025年8月のSalesloft侵害に類似しています。当時、「Scattered Lapsus$ Hunters」として知られる恐喝グループは、SalesloftのDrift AIチャットのSalesforce連携に対して盗まれたOAuthトークンを悪用し、顧客のSalesforceインスタンスからパスワード、AWSアクセスキー、Snowflakeトークンなどの機密情報を窃取しました。
ShinyHunters恐喝グループは当時BleepingComputerに対し、Salesloftのデータ窃取攻撃は約760社に影響し、15億件のSalesforceレコードが盗まれたと主張しました。
Salesloft攻撃で影響を受けたことが判明している企業には、Google、Cloudflare、Rubrik、Elastic、Proofpoint、JFrog、Zscaler、Tenable、Palo Alto Networks、CyberArk、BeyondTrust、Nutanix、Qualys、Cato Networks、その他多数が含まれます。
本日、BleepingComputerとのやり取りの中で、ShinyHuntersは、Salesloft Drift侵害で盗まれたシークレットを通じてGainsightを侵害した結果、さらに285のSalesforceインスタンスへアクセスしたと主張しました。
Gainsightは、Salesloft Driftに紐づく盗まれたOAuthトークンを通じて侵害を受けたことを以前に認めており、攻撃者は氏名、ビジネス用メールアドレス、電話番号、地域/所在地の詳細、ライセンス情報、サポートケースの内容などのビジネス連絡先情報にアクセスしたと述べています。
BleepingComputerは、Gainsightアプリケーションに関連する今回のデータ窃取攻撃について質問を送っていますが、現時点で回答は得られていません。
