Cloudflareは、先週明らかになったサプライチェーン攻撃の一環として発生した、最近相次ぐSalesloft Driftの侵害に影響を受けた最新の企業です。
このインターネット大手は火曜日、攻撃者が内部の顧客ケース管理およびカスタマーサポートに使用しているSalesforceインスタンスにアクセスし、そこに104個のCloudflare APIトークンが含まれていたことを明らかにしました。
Cloudflareは8月23日に侵害の通知を受け、9月2日に影響を受けた顧客にこのインシデントを通知しました。顧客への通知前に、侵害中に流出した104個すべてのCloudflareプラットフォーム発行トークンをローテーションしましたが、これらのトークンに関連する不審な活動はまだ発見されていません。
「この情報のほとんどは顧客の連絡先情報や基本的なサポートケースデータですが、一部のカスタマーサポートのやり取りには顧客の設定に関する情報が含まれている場合があり、アクセストークンなどの機密情報が含まれている可能性があります」とCloudflareは述べています。
「SalesforceのサポートケースデータにはCloudflareとのサポートチケットの内容が含まれているため、顧客が当社のサポートシステムを通じてCloudflareと共有したあらゆる情報(ログ、トークン、パスワードなどを含む)は漏洩したと見なすべきであり、このチャネルを通じて当社と共有した認証情報はすべて速やかにローテーションすることを強く推奨します。」
同社の調査によると、攻撃者は8月9日の初期偵察段階の後、8月12日から8月17日の間にSalesforceケースオブジェクト(カスタマーサポートチケットおよびそれに関連するデータ、ただし添付ファイルは含まれない)に含まれるテキストのみを盗み出したことが判明しました。
流出したケースオブジェクトには、テキストベースのデータのみが含まれていました。具体的には:
- Salesforceケースの件名
- ケースの本文(顧客がCloudflareに提供した場合、キーや秘密情報などを含む場合があります)
- 顧客の連絡先情報(例:会社名、依頼者のメールアドレスと電話番号、会社のドメイン名、会社所在地の国)
「このインシデントは単発のものではなく、脅威アクターは将来の攻撃のために認証情報や顧客情報を収集する意図があったと考えています」とCloudflareは付け加えました。
「このDriftの侵害によって数百の組織が影響を受けたことから、脅威アクターがこの情報を利用して、影響を受けた組織の顧客に対して標的型攻撃を仕掛けると考えられます。」
Salesforceデータ侵害の波
今年初めから、ShinyHuntersという恐喝グループが、ボイスフィッシング(vishing)を使って従業員を騙し、悪意のあるOAuthアプリを自社のSalesforceインスタンスに連携させることで、Salesforceの顧客を標的にしたデータ窃取攻撃を行っています。この手法により、攻撃者はデータベースを盗み出し、後に被害者を恐喝するために利用しました。
6月にGoogleがこれらの攻撃について初めて報告して以来、ShinyHuntersのソーシャルエンジニアリング手法に関連する多数のデータ侵害が明らかになっており、Google自身、Cisco、Qantas、Allianz Life、Farmers Insurance、Workday、Adidas、さらにLVMH傘下のLouis Vuitton、Dior、Tiffany & Co.などが標的となっています。
一部のセキュリティ研究者は、Salesloftサプライチェーン攻撃に同じ脅威アクターが関与しているとBleepingComputerに語っていますが、Googleはそれらを結びつける決定的な証拠は見つけていません。
Palo Alto Networksも週末にSalesloft Driftの侵害を受けたことを認め、顧客が提出したサポートデータの一部(連絡先情報やテキストコメントを含む)が盗まれたと発表しました。
Palo Alto NetworksのインシデントもSalesforce CRMに限定されており、同社がBleepingComputerに語ったところによると、自社の製品、システム、サービスには影響がありませんでした。
このサイバーセキュリティ企業は、攻撃者がAWSアクセスキー(AKIA)、VPNやSSOのログイン文字列、Snowflakeトークン、さらには「secret」「password」「key」などの一般的なキーワードを探していたことを観測しており、これらはさらなるクラウドプラットフォームへの侵入や他の恐喝攻撃でのデータ窃取に利用される可能性があります。
