SDym Photography(Alamy Stock Photoより)
脅威グループが、組織のSalesforceインスタンスに対する一連のデータ侵害を、OAuthトークンを侵害することで実行したことが、Googleにより明らかになりました。これらのトークンはSalesloft Driftというサードパーティアプリケーションに関連していました。この活動は、複数企業で広く利用されているCRMサービスの侵害を引き起こしたShinyHuntersによる過去のビッシング攻撃とは無関係のようです。
Google Threat Intelligence Group(GTIG)がUNC6395として追跡している脅威アクターは、8月8日から少なくとも8月18日まで、Salesforceインスタンスを標的とした「大規模なデータ窃取」キャンペーンを展開していたと、GTIGの研究者がMandiantブログで火曜日に述べました。このアクターは、AIを活用してコミュニケーション、分析、エンゲージメントなど様々な営業プロセスを自動化し、Salesforceデータベースと連携するアプリ内の認証トークンを悪用しました。
ブログ投稿によると、UNC6395は「Amazon Web Services(AWS)のアクセスキー(AKIA)、パスワード、Snowflake関連のアクセストークンなどの機密認証情報を収集する目的で、多数の企業のSalesforceインスタンスから大量のデータを組織的にエクスポート」していました。
これらの認証情報が流出した後、「アクターは被害者環境の侵害に利用できる可能性のあるシークレットを探してデータを検索し、その後、クエリー実行ジョブを削除して痕跡を隠した」とGTIGは述べています。
ログが影響を受けた証拠はないものの、「組織は依然として関連するログを確認し、データ漏洩の証拠がないか調査すべき」と投稿では述べられています。
対策および緩和策のガイダンス
このキャンペーンは、自社ソリューションをSalesforceサービスと連携させているSalesloftの顧客に限定されています。さらに、侵害がGoogle Cloudの顧客に直接影響した証拠はありませんが、Salesloft Driftを利用している場合は「Salesforceオブジェクト内にGoogle Cloud Platformサービスアカウントキーが含まれていないか確認すべき」とGTIGは述べています。
「Salesforceと連携したDriftを利用している組織は、自社のSalesforceデータが侵害されたものとみなし、直ちに対策を講じることが強く推奨されます」とGTIGは述べています。
状況を改善するために、SalesloftはSalesforceと協力し、Driftアプリケーションで有効なすべてのアクセスおよびリフレッシュトークンを失効させたとGTIGは述べています。Salesforceもまた、「今後の通知およびさらなる調査が完了するまで」DriftアプリケーションをSalesforce AppExchangeから削除したと投稿で述べています。GTIG、Salesforce、Salesloftは影響を受けた組織にも通知を行いました。
GITGの報告は、アディダス、パンドラ、アリアンツ、ティファニー、ディオール、ルイ・ヴィトン、ワークデイ、さらにはGoogle自身など、7月から8月にかけてサードパーティプラットフォーム(報道によればSalesforce)経由で侵害を受けたとする複数の著名企業による公表に続くものです。ShinyHuntersという脅威グループがこれら多くの攻撃の責任を主張しており、ビッシング攻撃が侵害手段として挙げられています。
これらの攻撃のニュースは、Googleが6月に、金銭目的の脅威グループUNC6040として追跡しているグループ(GoogleによればShinyHuntersを名乗る)が、ビッシング攻撃でITサポートスタッフを装い、組織のSalesforce環境へのアクセスを得ていたと報告した後に出てきました。今月初め、Googleは、UNC6040がこれらの手法を用いてGoogleのSalesforceインスタンスの1つを侵害したことを明らかにしました。
これらのSalesforce侵害の一部は、GITGが調査結果で示したタイムラインと一致しますが、侵害手段は異なり、GoogleはUNC6395によるSalesloft Driftの活動はUNC6040によるビッシング攻撃とは別物であると述べています。
「両者を結びつける説得力のある証拠は確認されていません」とGITGの広報担当者はDark Readingに語っています。
防御側への推奨事項
すでに述べたガイダンスに加え、影響を受けた組織はSalesforceオブジェクト内に含まれる機密情報やシークレットを検索し、APIキーの失効、認証情報のローテーション、UNC6395による悪用の有無を調査するなど、適切な対応を取るべきだとGoogleは述べています。
また、組織は侵害の有無を調査し、漏洩したシークレットがないかスキャンすべきだと同社は述べています。これは、Mandiantブログ記事の「Indicators of Compromise」セクションに記載されたGTIG提供のIPアドレスやUser-Agent文字列を検索するほか、「Torの出口ノードから発信された活動の広範な検索」を実施することで可能です。
その他の緩和策としては、Drift接続ユーザーに関連する異常な活動、Drift Connected Appからの認証活動、実行されたSOQLクエリを記録するUniqueQueryイベントなど、Salesforce Event Monitoringログの確認が含まれます。
また、Googleによれば、組織はSalesforceサポートケースを開いて脅威アクターが使用した特定のクエリを取得し、Salesforceオブジェクト内に潜在的なシークレットがないか検索することも可能です。さらに、発見されたキーやシークレットを即座に失効・ローテーションし、パスワードをリセットし、セッション設定でセッションタイムアウト値を設定して、侵害されたセッションの存続期間を制限するなど、認証情報のローテーションも推奨されます。
Googleはまた、アプリケーションに必要最小限の権限しか付与しないこと、接続アプリにIP制限を適用すること、信頼できるネットワークからのみアクセスできるようログインIP範囲を定義することなど、アクセス制御の強化も推奨しています。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/google-salesforce-attacks-third-party-app