Palo Alto Networksは、Salesloft Driftの侵害から流出したOAuthトークンが悪用され、自社のSalesforceインスタンスにアクセスされたことで、顧客データとサポートケースが流出するデータ侵害を受けました。
同社は、先週公表されたサプライチェーン攻撃で影響を受けた数百社のうちの1社であり、脅威アクターが盗まれた認証トークンを悪用してデータを持ち出したと述べています。
BleepingComputerは今週末、Palo Alto Networksの顧客からこの侵害について知らされました。顧客は、サポートケースで共有されたIT情報やパスワードなどの機密情報が流出したことを懸念しています。
Palo Alto Networksは後にBleepingComputerに対し、このインシデントは自社のSalesforce CRMに限定されており、製品、システム、サービスには影響がなかったことを確認しました。
「Palo Alto Networksは、Salesforceデータが流出したSalesloft Driftアプリケーションを標的とした大規模なサプライチェーン攻撃で影響を受けた数百社の顧客の一つであることを確認します」とPalo Alto NetworksはBleepingComputerに語りました。
「当社は迅速にインシデントを封じ込め、Salesforce環境から該当アプリケーションを無効化しました。Unit 42による調査により、この事象がPalo Alto Networksの製品、システム、サービスには影響しなかったことが確認されています。」
「攻撃者は主にビジネス連絡先や関連アカウント情報、内部の営業アカウント記録、基本的なケースデータを抽出しました。影響を受けたお客様には直接通知を進めています。」
Palo Alto NetworksはBleepingComputerに対し、持ち出されたサポートケースデータには連絡先情報とテキストコメントのみが含まれており、技術サポートファイルや添付ファイルは含まれていなかったと述べました。
このキャンペーンは、Googleの脅威インテリジェンスチームによってUNC6395として追跡されており、特にサポートケースを標的として、認証トークン、パスワード、クラウドシークレットなど、他のクラウドサービスへの侵入やデータ窃取に利用できる機密データを特定していました。
「当社の観測によると、脅威アクターはAccount、Contact、Case、Opportunityレコードなど、さまざまなSalesforceオブジェクトから機密データを大量に持ち出していました」とPalo Alto NetworksはBleepingComputerと共有した脅威概要で警告しています。
「持ち出し後、アクターは取得したデータ内の認証情報を積極的にスキャンしていたようで、さらなる攻撃やアクセス拡大を意図していた可能性があります。また、脅威アクターは自らの作業の証拠を隠すためにクエリを削除していたことも観測されています。」
Palo Alto Networksによると、攻撃者はAWSアクセスキー(AKIA)、Snowflakeトークン、VPNやSSOのログイン文字列、「password」「secret」「key」などの一般的なキーワードを含むシークレットを探していました。
これらの認証情報は、さらなるクラウドプラットフォームへの侵入や、恐喝目的のデータ窃取に利用される可能性があります。
GoogleとPalo Alto Networksによれば、脅威アクターは自動化ツールを用いてデータを窃取しており、ユーザーエージェント文字列からカスタムPythonツールが使われていたことが示唆されています:
python-requests/2.32.4
Python/3.11 aiohttp/3.12.15
Salesforce-Multi-Org-Fetcher/1.0
Salesforce-CLI/1.0これらの攻撃の一環として、脅威アクターはAccount、Contact、Case、OpportunityのSalesforceオブジェクトからデータを大量に持ち出しました。
検知を回避するため、脅威アクターはログを削除し、Torを利用して発信元を隠していました。
Palo Alto Networksは、関連するトークンを無効化し、インシデント後に認証情報のローテーションを行ったと述べています。
同社はSalesloft Driftの顧客に対し、「直ちに緊急対応」を行い、以下の対応を推奨しています:
- Salesforce、IDプロバイダー、ネットワークのログを調査し、不正アクセスの有無を確認する。
- すべてのDrift連携を確認し、不審な接続がないか調査する。
- 認証キー、認証情報、シークレットを無効化し、ローテーションする。
- TrufflehogやGitleaksなどの自動化ツールを使い、コードリポジトリ内の埋め込み認証キーやトークンをスキャンする。
- データの持ち出しが確認された場合、認証情報が含まれていないか精査する。
Palo Alto Networks、Salesforce、Googleは、OAuthトークンがどのように盗まれたかの調査が続く中、Drift連携を無効化しています。
このサプライチェーン攻撃は、ZscalerやGoogleなど、他の企業にも影響を与えています。
Salesforceデータ窃取攻撃
今年初めから、SalesforceはShinyHunters恐喝グループに関連するメンバーによるデータ窃取攻撃の標的となっています。
過去の攻撃では、脅威アクターがボイスフィッシング(vishing)を行い、従業員を騙して悪意のあるOAuthアプリを自社のSalesforceインスタンスに連携させていました。
一度連携されると、脅威アクターはその接続を利用してデータベースをダウンロード・窃取し、その後メールで企業を脅迫していました。
しかし、今回のSalesloft侵害では、脅威アクターは盗まれたOAuthトークンを使ってデータを窃取できました。
Googleが6月に最初に攻撃を報告して以来、多数のデータ侵害がこのソーシャルエンジニアリング攻撃に関連付けられており、Google自身、Cisco、Farmers Insurance、Workday、Adidas、Qantas、Allianz Life、LVMH傘下のLouis Vuitton、Dior、Tiffany & Co.などが被害を受けています。
一部の研究者は、Salesloftサプライチェーン攻撃に同じ脅威アクターが関与していると考えていますが、Googleはそれらが関連しているという決定的な証拠はないと述べています。
「現時点では、それらを結びつける説得力のある証拠は確認できていません」とGoogle脅威インテリジェンスグループの主任脅威アナリスト、オースティン・ラーセン氏はBleepingComputerに語りました。
2025年9月2日更新:記事タイトルを、侵害に完全なサポートチケットは含まれていなかったことを反映するよう修正しました。
