2025年8月29日Ravie Lakshmananデータ侵害 / Salesforce
Googleは、Salesloft Driftを介したSalesforceインスタンスを標的とした最近の攻撃の波が、これまで考えられていたよりもはるかに広範囲に及び、すべての統合に影響を与えていることを明らかにしました。
「現在、すべてのSalesloft Driftの顧客に対し、Driftプラットフォームに保存または接続されているすべての認証トークンが侵害された可能性があるものとして扱うよう推奨します」と、Google Threat Intelligence Group(GTIG)およびMandiantは更新された勧告で述べています。
このテクノロジー大手によると、攻撃者は「Drift Email」統合のOAuthトークンを侵害した後、2025年8月9日に少数のGoogle Workspaceメールアカウントのメールにも盗まれたOAuthトークンを使用してアクセスしたとのことです。これはGoogle WorkspaceやAlphabet自体が侵害されたわけではないことに注意が必要です。
「潜在的にアクセスされた可能性があるのは、Salesloftと統合するよう特別に設定されていたアカウントのみであり、攻撃者は顧客のWorkspaceドメイン内の他のアカウントにはアクセスできなかったはずです」とGoogleは付け加えています。
発見後、Googleは影響を受けたユーザーに通知し、Drift Emailアプリケーションに付与された特定のOAuthトークンを無効化し、調査が進行中の中でGoogle WorkspaceとSalesloft Drift間の統合機能を無効化したと述べています。
同社はまた、Salesloft Driftを利用している組織に対し、Driftインスタンスに接続されているすべてのサードパーティ統合を見直し、これらアプリケーションの認証情報を無効化および更新し、すべての接続システムに不正アクセスの兆候がないか調査するよう呼びかけています。
攻撃範囲の拡大は、Googleが明らかにした、Salesloft Driftに関連する侵害されたOAuthトークンを利用して、2025年8月8日から18日にかけてSalesforceインスタンスを標的とした、UNC6395と呼ばれる新たな活動クラスターによる広範かつ機会主義的なデータ窃取キャンペーンの直後に発生しています。
Salesloftはその後、Salesforceが一時的にSalesforce、Slack、Pardot間のDrift統合を無効化したことを明らかにし、その約3時間後には、Salesforceが「SalesforceとのすべてのSalesloft統合を一時的に無効化することを決定した」と発表しました。
「これまでの調査によれば、Driftインシデントに関連するSalesloft統合において悪意のある活動は検出されていません」と同社は述べています。「さらに、現時点ではSalesloft統合が侵害された、またはリスクにさらされているという兆候もありません。」
翻訳元: https://thehackernews.com/2025/08/google-warns-salesloft-oauth-breach.html