- Google脅威インテリジェンスグループによると、Gainsightの侵害は200以上のSalesforceインスタンスに影響を与えた可能性がある
- 攻撃は2025年8月のSalesloft侵害に端を発し、OAuthトークンが盗まれ、Scattered Lapsus$ Huntersに悪用された
- SHLは被害者としてAtlassian、CrowdStrike、LinkedInなどを挙げているが、いずれも侵害を確認していない
Googleのセキュリティ専門家は、最近のGainsight侵害により、200社以上およびSalesforceを通じて保存されていたデータが侵害された可能性があると考えている。
Salesforceは最近、Gainsightが公開したアプリケーションが自社システムに接続されている際に「異常な活動」があったことを確認した。当時、一部のアプリが特定の顧客のSalesforceデータへの不正アクセスを可能にしていた可能性があるとし、Gainsightが公開したアプリに関連するすべての有効なアクセスおよびリフレッシュトークンを無効化し、これらのアプリを一時的にAppExchangeから削除した。
報道によると、この攻撃は2025年8月のSalesloft侵害が原因だった。犯罪グループ「Scattered Lapsus$ Hunters(SLH)」が、SalesloftがSalesforceとのDrift AIチャット連携に使用していたOAuthトークンを盗み、顧客のSalesforceデータへのAPIアクセスを直接得ていた。このデータの中にはGainsightのファイルも含まれており、今回の攻撃につながった。
Scattered Lapsus Hunters
現在、Google脅威インテリジェンスグループの主任脅威アナリストであるAustin Larsen氏は、TechCrunchに対し、同社は「200以上のSalesforceインスタンスが影響を受けた可能性があることを把握している」と語った。
同メディアはTelegramを通じてこのグループに接触し、グループは攻撃の責任を認め、Atlassian、CrowdStrike、Docusign、F5、GitLab、LinkedIn、Malwarebytes、SonicWall、Thomson Reuters、Verizonが影響を受けたと述べた。
TechCrunchはSHLのリストにあるほとんどの企業に問い合わせたが、一部は回答せず、他は調査中とだけ述べた。いずれも侵害を認めていないが、明確に否定もしておらず、現時点でその証拠はないとだけ述べている。
Salesloft攻撃と同様に、GainsightのインシデントはSalesforce自体とはほとんど関係がなく、Salesforceは「この問題がSalesforceプラットフォームの脆弱性に起因するという証拠はない」と述べている。
