出典:Lobro(Alamy Stock Photo経由)
今夏の別のキャンペーンをほぼ再現する形で、ShinyHuntersの恐喝オペレーションに関与するハッカーが、サードパーティ統合を通じて再び多くの組織のSalesforceインスタンスに侵入しました。
春にSalesforce環境を標的としたビッシングキャンペーンが行われた後、ShinyHuntersに関連する脅威グループが8月に再びSalesforceを攻撃しました。脅威アクターは、マーケティングや営業プロセスを自動化するAIを活用した統合アプリケーション「SalesloftのDrift」を通じてサプライチェーン侵害を実行しました。彼らはSalesloftに侵入し、DriftとSalesforceを接続するOAuthトークンを盗み、それを使って数百の組織のSalesforce環境にアクセスしました。これにより、各組織がDriftアプリに付与していたSalesforce内のすべての権限を利用できるようになりました。
例えば、これらの影響を受けたSalesforce Drift顧客の一つがGainsightであり、これは顧客維持と満足度管理のためのプログラムで、Drift同様Salesforceと連携するアプリです。同社はセキュリティ警告の中で、攻撃者が自社のDriftインスタンスおよび関連するビジネスデータ(ビジネスメールアドレス、製品ライセンス情報、カスタマーサポートケースの内容など)にアクセスしたことを認めました。
そして今、新たな関連脅威グループが前回と同様の攻撃を実行しましたが、今回はDriftの代わりにGainsightという、Salesforceに広く統合されている別のサードパーティアプリが利用されました。そして攻撃者は再び、顧客のSalesforceインスタンスを侵害するために使えるOAuthトークンを盗み出しました。
AppOmniのCTO兼共同創業者であるBrian Sobyは、その手口の簡単さに驚きを隠しません。「彼らはDriftキャンペーンの成功を見て、『ああ、これをやればいいんだ』と思ったのでしょう」と彼は言います。「『これだけのユーザーにフィッシングするのは手間がかかりすぎる。サプライチェーンを突破して全員の認証情報を奪えば、あとはやりたい放題だ』と考えたのでしょう。」
Google Threat Intelligence Group(GTIG)の研究者たちは、この攻撃をShinyHuntersに関連するハッカーによるものと公に特定し、200以上の顧客インスタンスが影響を受けたと述べています。DataBreaches.netは直接グループに連絡し、グループは責任を認め、DriftとGainsightを通じて約1,000組織のSalesforceデータにアクセスしたと主張しています。
Dark Readingは、これらの組織が実際に影響を受けたかどうかを独自に確認していません。
Salesforceの対応:諸刃の剣
Salesforceはセキュリティ勧告の中で、「この問題がSalesforceプラットフォームの脆弱性によるものであるという証拠はありません。この活動はアプリのSalesforceへの外部接続に関連しているようです」と明言しました。それでも、悪意ある活動を検知した際、同社は被害を食い止めるために2つの大きな措置を講じました。まず、Gainsightで公開されたアプリに関連するすべてのアクティブなアクセスおよびリフレッシュトークンを無効化しました—しかもSalesforceはこれを非常に迅速に行ったため、Gainsightは当初は気づかず、接続障害を技術的なエラーだと誤認していました。
Salesforceはまた、これらのアプリを一時的にAppExchangeアプリマーケットプレイスから削除しました。意図自体は善意であり、これらの措置は攻撃者の阻止にも役立つものですが、Sobyはこれが諸刃の剣であると警告します。
「Salesforceが正当に顧客を保護し、すべてのトークンを削除した際、接続されていた組織の記録もすべて削除されました。つまり、どのユーザーや活動を調査すべきか、何が盗まれたかを把握する手がかりがなくなったのです。そして、Gainsightが何にアクセスできていたのかも、すべて消えてしまいました。顧客を守る一方で、厳しい状況に追い込んでしまうのです。」
彼は、DriftのケースでもSalesforceが同じ対応をし、調査のための記録が一切残らなかったことを思い出します。「全体として良いことか?確かに、Salesforceが進行中の侵害のアクセスを削除したのは良いことです。しかし、トレードオフも大きいのです。」
Gainsight侵害はSalesforceだけで終わらない
残念なのは、組織がDriftやGainsightの攻撃、そして今後の類似・派生攻撃から自らを守る方法が非常に単純だったことです。
Sobyは「Driftの場合、アプリケーション経由でSaaSに侵入し、管理の甘い認証情報を探して様々な場所を漁り始めました。しかし、そもそも95%の情報にはアクセスできるべきではなかった。なぜならDriftは営業インテリジェンスアプリだからです。なぜDriftに全環境への広範なアクセス権を与えているのですか?」と指摘します。
解決策は「組織はSalesforce内でアクセスできるのはアカウント、商談、連絡先だけと明確に指定すべきです。それ以外は何も許可しない。それが問題の緩和につながります」と彼は言います。
より広い意味で、組織は自分たちとSaaS(サービスとしてのソフトウェア)プラットフォームとの関係を再考する必要があります。「SaaSアプリケーションは一般的に『管理はお任せ、完全に安全、あなたはほとんど何もしなくていい、ビジネス部門に任せておけばいい』と売り込んできます。しかし実際には、それはひどい戦略です。なぜならビジネス部門はセキュリティに強い動機を持っていません。彼らは営業やカスタマーサポート、マーケティングが最優先です。セキュリティ志向の人たちではありません」と彼は言います。
「その結果、セキュリティチームはビジネス部門が対策していると思い込み、ビジネス部門はそれが自分たちの責任だとすら気づいていないことも多いのです」と彼は続けます。「今週もベンダーのセキュリティチームが『うちでGainsight使ってる?』と調達担当や法務担当に確認しています。『Gainsightという会社と契約してる?』と。」
Salesforce環境の特定と保護に奔走する中で、GainsightがSlackやMicrosoft Teams、HubSpot、Zendesk、ServiceNow、Jira、Snowflakeなど、他にも多様なプラットフォームと連携していることを見落とすかもしれません。条件が同じなら、Gainsightと統合されている他のソフトウェアもSalesforceと同様のリスクにさらされている可能性があります。
Sobyは「今すぐGainsightを切り離す必要があると言われても、99%の企業はどこを操作すればいいかすら分からないでしょう。おそらくSalesforceを見に行くでしょう。でも、Snowflakeにもつながっていることに気づいていますか?ワークスペースにもつながっていることに気づいていますか?全く気づいていないでしょう」と考えています。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/salesforce-customers-hacked-gainsight
