Salesforceは、犯罪者(おそらく再びShinyHunters)が顧客データへアクセスした可能性のある、別のサードパーティによる侵害を開示しました。
今回は、Salesforceに接続されたGainsight発行のアプリケーションに関する不審な活動であり、これらのアプリは顧客自身が直接インストール・管理しています。
「当社の調査によると、この活動によりアプリの接続を通じて一部顧客のSalesforceデータへの不正アクセスが可能になった可能性があります」とCRM大手は水曜日遅くに公開したセキュリティ勧告で述べました。
「当社の最新情報の通り、この活動を検知した際、SalesforceはGainsight発行アプリケーションに関連付けられたすべての有効なアクセスおよびリフレッシュトークンを無効化し、調査が続く間、これらのアプリケーションをAppExchangeから一時的に削除しました」とSalesforceの広報担当アレン・ツァイ氏はThe Registerに語りました。
ツァイ氏は、侵害された顧客数(影響を受けた顧客には通知済みと述べた)や、今回のSalesforce顧客データの最新窃盗の背後にいる人物など、侵害に関する具体的な質問への回答を拒否しました。
「この問題がSalesforceプラットフォームの脆弱性に起因するという証拠はありません」とツァイ氏は述べました。「この活動はアプリのSalesforceへの外部接続に関連しているようです。」
GainsightはThe Registerからのコメント要請に直ちに応じませんでした。
Salesforceは特定の脅威グループを名指ししていませんが、Googleの主任脅威アナリスト、オースティン・ラーセン氏はこの活動をShinyHuntersに帰属させています。この犯罪グループは、今年初めにSalesLoftのDriftアプリケーションを侵害し、複数企業のOAuthトークンを盗み、多くの組織のSalesforceインスタンスにアクセスできるようにしました。
「Google Threat Intelligence Group(GTIG)のチームは、ShinyHuntersに関連する脅威アクターがサードパーティのOAuthトークンを侵害し、Salesforce顧客インスタンスへの不正アクセスを得ようとしているのを観測しています」とラーセン氏は木曜日のLinkedIn投稿で述べました。
GoogleのMandiantインシデント対応チームはSalesforceと協力し、影響を受けた可能性のある組織への通知を進めているとラーセン氏は付け加え、すべての企業に対し「これをSaaS環境の監査のシグナルと捉えるべき」とし、Salesforceインスタンスに接続されているすべてのサードパーティアプリケーションの定期的なレビューを含めるよう促しました。
また、企業は「未使用または不審なアプリケーションのトークンを調査し、取り消す」こと、異常な活動を検知した場合には「直ちに認証情報をローテーションする」ことも推奨しています、と彼は記しました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/20/salesforce_gainsight_breach/
