Gainsightのサイバー攻撃、より多くのSalesforce顧客に影響

Gainsightを標的としたサイバー攻撃は、当初予想されていたよりも多くのSalesforce顧客に影響を及ぼしています。

11月20日に最初に投稿され、その後定期的に更新されている顧客向けFAQの中で、カスタマーサポートプラットフォームの提供会社は、Salesforceが当初この侵害によって影響を受けた顧客3社のリストを提供したと述べています。

その後、Gainsightは「リストがより多くの顧客に拡大された」と発表しました。

同社は現在このリストに含まれる顧客数を明らかにしていません。しかし、GainsightはInfosecurityに対し、「影響を受けた少数の顧客に速やかに通知した」と述べており、影響を受けた顧客数は限定的であることを示唆しています。

影響を受けた顧客には、11月21日にSalesforceからも通知がありました。

Gainsightアプリケーションに影響する予防措置

Gainsightは、SalesforceがStaircaseの接続を予防措置としてのみ削除したこと、そしてこのアプリケーションが侵害の影響を受けた証拠はないことを強調しました。

「Staircaseは他のGainsight製品とは完全に分離された独立したインフラストラクチャ上で動作しており、共有システムやデータ経路はありません」と同社は述べています。

さらに、Gong.io、Zendesk、HubSpotの3社も「慎重を期して」Gainsightアプリケーションへのコネクタを無効化しました。

11月24日の別の更新で、HubSpotは同社やその顧客が攻撃の影響を受けた証拠はないと述べています。しかし、調査が完了するまで、予防措置としてGainsightとの連携は無効のままとなります。

GainsightはGainsightステータスサイトで定期的に最新情報を共有し、「Office Hours」と呼ばれる定期的な顧客向けタウンホールも開催しています。

「Salesforce接続アプリがオフラインの間も、顧客がGainsight Customer Successインスタンスを管理できるよう支援するソリューションも用意しています」とGainsightの広報担当者はInfosecurityに語りました。

本件に関するブログ記事（11月25日公開）で、GainsightのCEOであるChuck Ganapathi氏は、Gainsightのセキュリティ、サポート、製品、カスタマーサクセスチームがSalesforceと協力して本件を調査していることを確認しました。

さらに、GainsightはGoogle Cloudのインシデント対応部門であるMandiantを起用し、独立したフォレンジック調査を実施しています。

Salesforceの侵害指標（IOC）によると、Gainsight FAQを通じて顧客や一般に共有された情報では、最初の不正アクセスは11月8日にAT&TのIPアドレス経由で行われ、偵察活動が行われたとされています。

その後、Salesforceは11月16日から23日の間に約20件の不審な侵入を特定し、これらは様々なツールや商用VPNサービス（例：Mullvad、Surfshark）を利用していました。

Gainsightは顧客に対し、特定されたIPアドレスをプロファイルレベルで制限するよう助言しました。

攻撃者はまた、Salesloft Drift攻撃でも観測されたSalesforce-Multi-Org-Fetcher/1.0という手法も利用しました。

Gainsightは、VPNや重要システムへのアクセスに使用される多要素認証資格情報のローテーションなど、環境の強化に向けた複数の対策を講じたと述べています。

顧客に求められている対応：

Gainsightはまた、Google Threat Intelligence Group（GTIG）が2025年9月に発表した予防的対策を実施し、Shiny Hunter-Scattered Spider-Lapssus$集団による脅威を軽減することを推奨しています。

写真クレジット：Gainsight / JHVEPhoto / Shutterstock