執筆者: Austin Larsen、Matt Lin、Tyler McLellan、Omar ElAhdan
更新(8月28日)
GTIGが特定した新たな情報に基づき、この侵害の範囲はSalesloft DriftとのSalesforce連携に限定されず、他の連携にも影響することが判明しました。現在、すべてのSalesloft Driftのお客様に対し、Driftプラットフォーム内に保存されている、またはDriftプラットフォームに接続されているあらゆる認証トークンを、侵害された可能性があるものとして扱うよう助言します。
2025年8月28日、当社の調査により、攻撃者が「Drift Email」連携のOAuthトークンも侵害していたことが確認されました。2025年8月9日、脅威アクターはこれらのトークンを使用して、ごく少数のGoogle Workspaceアカウントからメールにアクセスしました。アクセスされた可能性があるのは、Salesloft Driftと連携するよう明示的に設定されていたアカウントのみであり、攻撃者は顧客のWorkspaceドメイン上の他のアカウントにはアクセスできなかったはずです。
これらの調査結果を受け、またお客様を保護するために、Googleは影響を受けたユーザーを特定し、Drift Emailアプリケーションに付与されていた特定のOAuthトークンを失効させ、さらなる調査が完了するまでGoogle WorkspaceとSalesloft Drift間の連携機能を無効化しました。影響を受けたすべてのGoogle Workspace管理者に通知しています。
明確にしておきますが、Google WorkspaceまたはAlphabet自体の侵害は発生していません。GoogleはSalesloft Driftの顧客ではなく、そのため影響は受けません。潜在的な侵害影響に関する問い合わせは、Salesloftまたはその顧客に向けてください。
組織には、Driftインスタンスに接続されているすべてのサードパーティ連携を直ちに見直し、これらアプリケーションの資格情報を失効およびローテーションし、接続されているすべてのシステムについて不正アクセスの兆候がないか調査することを推奨します。
Salesloftは現在、調査支援のためMandiantを起用しました。詳細はSalesloftの更新されたアドバイザリをご覧ください。
はじめに
Google Threat Intelligence Group(GTIG)は、UNC6395として追跡しているアクターによって実行されている大規模なデータ窃取キャンペーンについて、組織に注意喚起するためのアドバイザリを発行します。早ければ2025年8月8日から少なくとも2025年8月18日にかけて、当該アクターはSalesloft Driftサードパーティアプリケーションに関連する侵害されたOAuthトークンを通じて、Salesforceの顧客インスタンスを標的にしました。
当該アクターは、多数の企業のSalesforceインスタンスから大量のデータを体系的にエクスポートしました。GTIGは、脅威アクターの主目的は資格情報の収集であると評価しています。データが持ち出された後、アクターはそのデータを検索し、被害者環境の侵害に利用できる可能性のあるシークレットを探しました。GTIGは、UNC6395がAmazon Web Services(AWS)アクセスキー(AKIA)、パスワード、Snowflake関連のアクセストークンなどの機微な資格情報を標的としていることを確認しました。UNC6395は、クエリジョブを削除することで運用上のセキュリティ意識を示しましたが、ログ自体は影響を受けておらず、組織はデータ露出の証拠を得るために関連ログを引き続き確認すべきです。
当時入手可能なデータに基づき、Salesloftは、Salesforceと連携していない顧客はこのキャンペーンの影響を受けないと示しました。
2025年8月20日、SalesloftはSalesforceと協力し、Driftアプリケーションに関するすべての有効なアクセス/リフレッシュトークンを失効させました。加えてSalesforceは、さらなる調査が完了するまで、Salesforce AppExchangeからDriftアプリケーションを削除しました。本件はSalesforce中核プラットフォーム内の脆弱性に起因するものではありません。
GTIG、Salesforce、Salesloftは影響を受けた組織に通知しました。
脅威の詳細
脅威アクターは、ケース(Cases)、アカウント(Accounts)、ユーザー(Users)、商談(Opportunities)などのSalesforceオブジェクトに関連する情報を取得するためにクエリを実行しました。例えば、脅威アクターは関連する各Salesforceオブジェクトの一意件数を取得するために、次のクエリシーケンスを実行しました。
SELECT COUNT() FROM Account;
SELECT COUNT() FROM Opportunity;
SELECT COUNT() FROM User;
SELECT COUNT() FROM Case;
ユーザーデータを取得するクエリ
SELECT Id, Username, Email, FirstName, LastName, Name, Title, CompanyName,
Department, Division, Phone, MobilePhone, IsActive, LastLoginDate,
CreatedDate, LastModifiedDate, TimeZoneSidKey, LocaleSidKey,
LanguageLocaleKey, EmailEncodingKey
FROM User
WHERE IsActive = true
ORDER BY LastLoginDate DESC NULLS LAST
LIMIT 20
ケースデータを取得するクエリ
SELECT Id, IsDeleted, MasterRecordId, CaseNumber <snip>
FROM Case
LIMIT 10000推奨事項
GTIGが本キャンペーンに関連するデータ持ち出しを確認していることを踏まえ、Salesloft Driftを使用して(Salesforceを含むがこれに限定されない)サードパーティプラットフォームと連携している組織は、自組織のデータが侵害されたものとみなし、直ちに是正措置を講じることを強く推奨します。
影響を受けた組織は、連携プラットフォーム内に含まれる機微情報やシークレットを検索し、APIキーの失効、資格情報のローテーション、さらなる調査の実施など、適切な対応を行って、脅威アクターによりシークレットが悪用されたかどうかを判断してください。
侵害の有無を調査し、露出したシークレットをスキャンする
-
組織のDriftインスタンスに関連付けられているすべてのサードパーティ連携(Drift管理設定ページからアクセス可能)を確認してください。
-
連携されている各サードパーティアプリケーション内で、以下のIOCセクションに記載されたIPアドレスおよびUser-Agent文字列を検索してください。この一覧には、これまでに観測されたTorネットワークのIPが含まれますが、MandiantはTorの出口ノードに由来するあらゆるアクティビティについて、より広範な検索を推奨します。
-
Drift接続ユーザーに関連する不審なアクティビティがないか、Salesforce Event Monitoringログを確認してください。
-
Drift Connected Appからの認証アクティビティを確認してください。
-
実行されたSOQLクエリを記録するUniqueQueryイベントを確認してください。
-
脅威アクターが使用した具体的なクエリを入手するため、Salesforceサポートケースを起票してください。
-
次のような潜在的なシークレットについてSalesforceオブジェクトを検索してください:
-
AKIA(長期AWSアクセスキー識別子) -
Snowflakeまたはsnowflakecomputing.com(Snowflakeの資格情報) -
password、secret,key(資格情報素材への参照の可能性を見つけるため) -
VPNやSSOログインページなど、組織固有のログインURLに関連する文字列
シークレットやハードコードされた資格情報を見つけるために、Trufflehogのようなツールを実行してください。
資格情報を失効およびローテーションする
-
連携されている各サードパーティアプリケーション内で、Driftインスタンスとのサードパーティアプリケーション連携に関連するAPIキー、資格情報、および認証トークンを失効させ、ローテーションしてください。
-
発見されたキーまたはシークレットは直ちに失効およびローテーションしてください。
-
関連するユーザーアカウントのパスワードをリセットしてください。
-
Salesforce連携については、侵害されたセッションの寿命を制限するため、セッション設定でセッションタイムアウト値を構成してください。
アクセス制御を強化する
-
Connected Appのスコープを確認し制限する: アプリケーションに必要最小限の権限のみを付与し、
fullアクセスのような過度に許容的なスコープは避けてください。 -
Connected AppにIP制限を強制する: アプリの設定で「IP Relaxation」ポリシーを「Enforce IP restrictions」に設定してください。
-
ログインIP範囲を定義する: ユーザープロファイルでIP範囲を定義し、信頼できるネットワークからのみアクセスを許可してください。
-
「API Enabled」権限を削除する: プロファイルから「API Enabled」権限を削除し、権限セットを通じて許可されたユーザーにのみ付与してください。
追加の手順および更新情報は、Salesloft Trust CenterおよびSalesforceアドバイザリで確認できます。
謝辞
本脅威への対応における協力と支援に対し、Salesforce、Salesloft、ならびにその他の信頼できるパートナーに感謝します。
IOC
以下の侵害指標は、登録ユーザー向けの Google Threat Intelligence(GTI)コレクションで利用できます。
|
指標値 |
説明 |
|
Salesforce-Multi-Org-Fetcher/1.0 |
悪意のあるUser-Agent文字列 |
|
Salesforce-CLI/1.0 |
悪意のあるUser-Agent文字列 |
|
python-requests/2.32.4 |
User-Agent文字列 |
|
Python/3.11 aiohttp/3.12.15 |
User-Agent文字列 |
|
208.68.36.90 |
DigitalOcean |
|
44.215.108.109 |
Amazon Web Services |
|
154.41.95.2 |
Tor出口ノード |
|
176.65.149.100 |
Tor出口ノード |
|
179.43.159.198 |
Tor出口ノード |
|
185.130.47.58 |
Tor出口ノード |
|
185.207.107.130 |
Tor出口ノード |
|
185.220.101.133 |
Tor出口ノード |
|
185.220.101.143 |
Tor出口ノード |
|
185.220.101.164 |
Tor出口ノード |
|
185.220.101.167 |
Tor出口ノード |
|
185.220.101.169 |
Tor出口ノード |
|
185.220.101.180 |
Tor出口ノード |
|
185.220.101.185 |
Tor出口ノード |
|
185.220.101.33 |
Tor出口ノード |
|
192.42.116.179 |
Tor出口ノード |
|
192.42.116.20 |
Tor出口ノード |
|
194.15.36.117 |
Tor出口ノード |
|
195.47.238.178 |
Tor出口ノード |
|
195.47.238.83 |
Tor出口ノード |
