顧客管理ソフトウェアGainsightのシステムへの侵入範囲と、侵害がSalesforce以外の他のサードパーティアプリケーションに拡大したかどうかを判断するため、独立したフォレンジック調査が進行中です。この分析が継続しているにもかかわらず、同社は接続されたサービス内に保存されている顧客データへの影響は限定的であり、ほぼ封じ込められていると主張しています。
「Salesforceは侵害された顧客トークンを特定しましたが、現時点でデータが影響を受けた顧客はごくわずかしか把握していません」とGainsightのCEO、Chuck Ganapathiはブログ投稿で火曜日に述べました。「Salesforceは影響を受けた顧客に通知しており、私たちもそれぞれに連絡を取り、サポートを提供し、直接対応しています。」
攻撃の詳細は散在しており、影響を受けた企業の数やその被害範囲についても食い違いがあります。情報が断片的なのは、GainsightとSalesforceがそれぞれ独立して自社システムに関するアップデートを共有しているためでもあります。
Gainsightは、攻撃の被害者特定と詳細な侵害の指標の提供をSalesforceおよびインシデント対応会社のMandiantに依存しています。
Salesforceは攻撃直後に3社の影響を特定し、その後さらに被害者が確認されたと、Gainsightはコミュニティページで更新しました。両社とも、既知の被害者数を具体的に公表しておらず、その点についての質問にも回答を拒否しています。
Google Cloudのセキュリティ部門傘下のMandiantと提携するGoogle Threat Intelligence Groupは、先週のGainsight侵害によって影響を受けた可能性のあるSalesforceインスタンスが200件以上あることを把握していると述べました。Googleはそれ以降、最新の数字を公表していません。
サプライチェーン攻撃では、下流に影響が波及する中で不一致がよく見られます。
一方、Mandiantは引き続きログを精査し、トークンの挙動やコネクターの活動を分析して、Gainsightに何が起きたのか、攻撃者がGainsight顧客のアクセストークンを使ってどこまで追加システムに侵入できたのか、より完全な見解を提供しようとしています。
Gainsightは以前、Hubspot、Zendesk、収益インテリジェンスプラットフォームGong.ioも「慎重を期して」一時的にGainsight顧客のアクセストークンを無効化したと述べていました。同社は他のシステムへの確認された影響は報告しておらず、Salesforceも自社プラットフォームの脆弱性が関与していないとしています。
この侵害とその根本原因は、2か月前にSalesloft DriftをSalesforceに統合した700社以上に影響を与えた大規模な下流攻撃と非常によく似ています。
GainsightとSalesforceはどちらも顧客と直接やり取りしていますが、攻撃に関する脅威ハンティングのガイダンスや情報は複数の場所で公開されています。
Salesforceは、各悪意のあるIPアドレスごとの日付や観測された活動を含む最も包括的なIOC(侵害の指標)を共有しています。Salesforceによると、このキャンペーンに関連する最初の悪意ある活動は10月23日に発生しました。
同社は顧客に対し、利用可能なすべてのログを確認して潜在的な侵害を調査するよう助言し、GainsightのOAuthトークンを無効化しても顧客のログが削除されたり、インシデント調査能力が妨げられたりすることはないと述べました。
しかしGainsightは、自社のログはあまり役立たないと述べています。「当社が保持しているログの性質上、多くのクライアントは自社組織へのリスク評価において重要な情報とは見なしていません」とGainsightの最高顧客責任者Brent Krempgesはコミュニティページで述べました。
「Salesforceのログで、Gainsight Connected Appから発生した認証試行やAPIコールに注目して調査を進めることを強く推奨します」と彼は付け加えました。「これらSalesforce側のログが、異常なアクセスパターンを特定するための権威ある情報源です。」
Gainsightはまた、APIコールに対してIP制限を設定し、正当なリクエストのみが許可されるようにすることを顧客に推奨しています。このセキュリティコントロールは手動であり、サプライチェーン内のすべてのベンダーの協力が必要です。Oktaは、IP制限によって自社のDrift統合が安全に保たれたとし、8月の大規模インシデント時にSalesforce環境への攻撃を阻止できたと述べています。
8月にCEOに就任したGanapathiは、Gainsightが顧客の日常業務にとって重要であり、自社製品へのアクセスを確保する責任があると認めました。同社は、Salesforce連携アプリがオフラインの間も、顧客がGainsight Customer Success(CS)インスタンスを管理できるよう支援していると述べました。
「これらの脅威に打ち勝つ唯一の方法は、協力し合い、情報や戦略を共有することです」とGanapathiは述べました。「だからこそ、私たちはこの経験から得た知見をSaaSコミュニティ全体と共有し、皆さんの防御力強化に役立て、同様の事態を回避できるようにしたいと考えています。」
翻訳元: https://cyberscoop.com/gainsight-ceo-downplays-salesforce-attack/
