Salesforceの顧客が再び「大規模なデータ窃取キャンペーン」の標的となりました。今回は、サードパーティのSalesloft Driftアプリに関連する不正なOAuthトークンを通じて行われています。
Salesloft Driftは、Salesforceと連携し、営業およびマーケティングチームがプロジェクトで協力するのを支援します。Salesloftは8月20日にセキュリティ警告を発表し、セキュリティ問題を検知したため「DriftとSalesforce間の接続を事前に解除した」と明らかにしました。
しかし、同社はこの件についてそれ以上の説明をしていませんでしたが、Google Threat Intelligence Group(GTIG)が8月26日火曜日に詳細を明らかにしました。
GTIGによると、UNC6395として追跡されている脅威アクターが、8月8日から8月18日の間に「多数の」Salesforce顧客インスタンスを標的とし、組織的に大量のデータを流出させていたとのことです。一部の専門家は、「数百」の顧客が影響を受けた可能性があると指摘しています。
「GTIGは、脅威アクターの主な目的は認証情報の収集であると評価しています。データが流出した後、アクターは被害者環境を侵害するために利用できる秘密情報を探してデータを検索しました」とGoogleは説明しています。
「GTIGは、UNC6395がAmazon Web Services(AWS)のアクセスキー(AKIA)、パスワード、Snowflake関連のアクセストークンなどの機密性の高い認証情報を標的にしていたことを観測しました。UNC6395はクエリーのジョブを削除することで運用上のセキュリティ意識を示しましたが、ログには影響がなく、組織は依然として関連するログを確認し、データ漏洩の証拠を調査すべきです。」
Salesforceへの攻撃についてさらに読む:Allianz Lifeのデータ漏洩で110万人の顧客の個人情報が流出
Googleは、Driftを利用しているSalesforceの顧客に対し、自社のSalesforceデータがすでに侵害されていると想定し、直ちに対策を講じるよう警告しています。
「影響を受けた組織は、Salesforceオブジェクト内に含まれる機密情報や秘密情報を検索し、APIキーの無効化、認証情報のローテーション、さらなる調査による秘密情報の悪用有無の確認など、適切な対応を取るべきです」と付け加えています。
SalesloftはDriftアプリのすべての有効なアクセスおよびリフレッシュトークンを無効化したため、管理者はSalesforceとの接続を再認証する必要があると、Salesloftは昨日のアップデートで説明しました。同社はインシデント対応の専門家を雇い、調査を進めています。
Salesforceは調査中、DriftアプリをSalesforce AppExchangeから削除しました。
このニュースは、vishing攻撃を通じてSalesforceインスタンスを標的とする並行したデータ恐喝キャンペーンの被害者名がさらに明らかになる中で報じられています。報道によると、ShinyHuntersグループの最新の被害企業は米国の保険会社Farmers Insuranceであり、記事執筆時点で同社のウェブサイトはオフラインとなっていました。
専門家は国家関与を疑う
AppOmniのCSOであるCory Michal氏は、Salesloftへの攻撃は、被害の規模やキャンペーンの組織的な性質から、国家によるものの可能性があると主張しています。
「UNC6395による攻撃で最も注目すべき点は、その規模と規律です。これは単発の侵害ではなく、特定の関心を持つ組織の数百のSalesforceテナントが盗まれたOAuthトークンを使って標的にされ、攻撃者は多くの環境でデータを組織的に検索・エクスポートしていました」と彼は説明します。
「彼らは高い運用規律を示し、構造化されたクエリを実行し、特に認証情報を探し、さらにジョブを削除して痕跡を隠そうとさえしました。規模、集中力、手口の組み合わせがこのキャンペーンを際立たせています。」
Astrix SecurityのフィールドCTOであるJonathan Sander氏は、このキャンペーンが非人間アイデンティティ(NHI)の保護の難しさを浮き彫りにしていると付け加えます。
「Salesloft Driftトークンの侵害は、典型的なNHI攻撃です。人間が気づかないものを盗み、人間が使わないものを使い、できるだけ長く影に潜みます。そしてそれを使ってさらに多くのNHI資産を盗み、何度も繰り返すのです」とSander氏は述べています。
「残念ながら、私たちがよく目にするのは、人々が自分たちのNHIについて何を知らないのかさえ分かっていないということです。攻撃者が狙っているものの基本的なインベントリすら作成していません。」
画像クレジット:Tada Images / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/data-theft-campaign-salesforce/