サイバーセキュリティ企業のZscalerは、攻撃者が同社のSalesforceインスタンスにアクセスし、サポートケースの内容を含む顧客情報を盗み出したとして、データ漏洩が発生したと警告しています。
この警告は、Salesforceと連携するAIチャットエージェントであるSalesloft Driftの侵害を受けたものです。この侵害では、攻撃者がOAuthおよびリフレッシュトークンを盗み出し、それにより顧客のSalesforce環境へアクセスし、機密データを流出させることが可能となりました。
Zscalerはアドバイザリの中で、このサプライチェーン攻撃によって同社のSalesforceインスタンスが影響を受け、顧客情報が流出したと述べています。
「このキャンペーンの一環として、不正なアクターがZscalerを含むSalesloft Driftの顧客の認証情報にアクセスしました」とZscalerのアドバイザリには記載されています。
「継続中の調査の一環として詳細なレビューを行った結果、これらの認証情報により、一部のZscalerのSalesforce情報への限定的なアクセスが可能になっていたことが判明しました。」
流出した情報には以下が含まれます:
- 氏名
- 業務用メールアドレス
- 役職
- 電話番号
- 地域/所在地の詳細
- Zscaler製品のライセンスおよび商業情報
- 特定のサポートケースの内容
同社は、このデータ漏洩が影響するのは自社のSalesforceインスタンスのみであり、Zscalerの製品、サービス、インフラストラクチャには影響がないことを強調しています。
Zscalerは、現時点でこの情報の悪用は確認されていないとしつつも、顧客に対して、この情報を悪用したフィッシングやソーシャルエンジニアリング攻撃に警戒するよう推奨しています。
また、同社はSalesforceインスタンスへのSalesloft Drift連携をすべて解除し、他のAPIトークンもローテーションし、今回のインシデントの調査を進めていると述べています。
Zscalerはまた、ソーシャルエンジニアリング攻撃から守るため、顧客サポート対応時の認証プロトコルも強化しました。
Google Threat Intelligenceは先週、UNC6395として追跡されている脅威アクターがこの攻撃の背後におり、サポートケースを盗み出して、顧客がサポート依頼時に共有した認証トークン、パスワード、シークレットを収集していると警告しました。
「GTIGは、UNC6395がAmazon Web Services(AWS)のアクセスキー(AKIA)、パスワード、Snowflake関連のアクセストークンなどの機密認証情報を狙っていることを確認しました」とGoogleは報告しています。
「UNC6395はクエリージョブを削除することで運用上のセキュリティ意識を示しましたが、ログには影響がなく、組織は依然として関連ログを確認し、データ漏洩の証拠を調査すべきです。」
その後、Salesloftのサプライチェーン攻撃はDriftのSalesforce連携だけでなく、メール返信の管理やCRM・マーケティング自動化データベースの整理に使用されるDrift Emailにも影響を与えていたことが明らかになりました。
Googleは先週、攻撃者が盗まれたOAuthトークンを使ってGoogle Workspaceのメールアカウントにアクセスし、メールを閲覧していたことも警告しました。
GoogleとSalesforceは、調査が完了するまでDrift連携を一時的に無効化しています。
一部の研究者はBleepingComputerに対し、Salesloft Driftの侵害は、ShinyHuntersという脅迫グループによる最近のSalesforceデータ窃取攻撃と重複していると考えていると述べています。
今年初めから、攻撃者はソーシャルエンジニアリング攻撃を実施し、Salesforceインスタンスに侵入してデータをダウンロードしています。
これらの攻撃では、攻撃者がボイスフィッシング(vishing)を行い、従業員を騙して悪意のあるOAuthアプリを自社のSalesforceインスタンスに連携させています。
一度連携されると、攻撃者はその接続を利用してデータベースをダウンロード・窃取し、その後メールを通じて企業を脅迫しました。
Googleが6月に最初にこの攻撃を報告して以来、多数のデータ漏洩がこのソーシャルエンジニアリング攻撃と関連付けられており、Google自身、Cisco、Farmers Insurance、Workday、Adidas、Qantas、Allianz Life、そしてLVMH傘下のLouis Vuitton、Dior、Tiffany & Co.などが含まれます。
