Palo Alto Networks、Zscaler、Cloudflareが最新のデータ侵害被害に

著名なベンダー3社、Palo Alto Networks、ZScaler、Cloudflareが火曜日にSalesloft Driftを標的としたサイバー攻撃の被害を受けたと発表したことで、現代の相互接続された企業環境では、1つのベンダーのセキュリティホールが世界中のユーザーに影響を及ぼすことを改めて示しました。

Palo Altoの火曜日の声明では、「このサプライチェーン攻撃は、Palo Alto Networksを含む数百の組織に影響を与えました」とし、また「このインシデントは当社のCRMプラットフォームに限定されており、Palo Alto Networksの製品やサービスには影響はなく、引き続き安全かつ完全に稼働しています。関与したデータの大部分はビジネス連絡先情報、社内営業アカウント、および顧客に関連する基本的なケースデータです」と述べています。

しかし、Palo Altoが報告した詳細の一つによると、Salesforce内の安全でないノート欄に機密データを保存したユーザーは、他のユーザーよりも大きな被害を受ける可能性があることが示されました。

「流出したデータの大部分はビジネス連絡先情報でした。しかし、最近のケースノートに認証情報などの機密情報を含めていた少数の顧客については、そのデータも侵害された可能性があります」とPalo Altoの広報担当者はCSOへのメールで説明しました。 

「ZscalerとPalo Altoの場合、SASE分野のソリューションを販売しているため、今回の侵害は特に問題となり得ます。なぜなら、これがサードパーティ、さらにはフォースパーティの侵害へと発展する可能性があるからです」とFlavio Villanustre氏（LexisNexis Risk SolutionsのSVP兼CISO）は述べています。「彼らは顧客の安全なアクセスのための認証ループに関与していることを忘れてはいけません。Salesforce導入に影響を与える多くのインシデントは、侵害されたID、盗まれたトークン、公開されたエンドポイントに関連しているようで、今回の2社もその範疇に入るでしょう。」

一部の顧客はより多くのデータが漏洩した可能性

Zscalerの声明も同様で、「このインシデントは、Salesforceデータベースと連携してリードや連絡先情報を管理するためのサードパーティアプリケーションであるSalesloft Driftに関連するOAuthトークンの盗難が関与しています」と述べています。

Zscalerは、取得された可能性のある情報の種類として、氏名、メールアドレス、役職、電話番号、地域/所在地の詳細、Zscaler製品のライセンスおよび商業情報、「特定のサポートケースからのプレーンテキスト内容（添付ファイル、ファイル、画像は含まれません）」を挙げています。

Palo Altoは、攻撃の詳細と推奨される防御策について、別の声明を発表しました。

「脅威アクターは、Account、Contact、Case、Opportunityレコードなど、さまざまなSalesforceオブジェクトから機密データを大量に流出させました。流出後、アクターは取得したデータから認証情報を積極的にスキャンしている様子が見受けられ、さらなる攻撃やアクセス拡大を意図している可能性があります」とPalo Altoのブログ投稿は述べています。「脅威アクターは、自らが実行したジョブの証拠を隠すためにクエリを削除したことも観測されています。これはアンチフォレンジック技術と考えられます。」また、「Palo Alto Networksは、認証情報のローテーションと、Drift連携の認証アクティビティを検証するための[提供された]ガイダンスの遵守を強く推奨します」と強調しています。

防御策の提案

Palo Altoは顧客に対し、「8月8日以降のSalesforceログイン履歴、監査証跡、APIアクセスログを徹底的に確認すること」を推奨しています。特に、Salesforceイベント監視ログ（有効化されていれば）でDrift接続ユーザーに関連する異常なアクティビティや、Drift Connected Appからの認証アクティビティを確認してください。不審なログイン試行、異常なデータアクセスパターン、Python/3.11 aiohttp/3.12.15のユーザーエージェント文字列や既知の脅威アクターIPアドレスからのアクティビティなど、ハンティングガイダンスセクションで挙げられている指標を探してください。また、実行されたSalesforce Object Query Language（SOQL）クエリを記録するUniqueQueryイベントを確認し、攻撃者がどのSalesforceオブジェクト（例：Account、Contact、Opportunity、Caseなど）およびその中のどのフィールドをクエリしたかを特定してください。

Cloudflareのブログ投稿は、Palo AltoやZscalerの投稿とは大きく異なり、Cloudflareがこのインシデントに対して一定の責任を認めています。彼らもまた、侵害はサードパーティから発生したと強調していますが、そのサードパーティのサービスを有効化したことについてCloudflareは責任を負うと述べています。

「私たちは、ビジネスを支援するために使用するツールの選択に責任があります」とCloudflareは述べています。「この侵害は、私たちの顧客を失望させました。それについて心からお詫び申し上げます。」

Cloudflareはまた、意図せず入力されたデータの漏洩についても言及しています。 

「SalesforceのサポートケースデータにはCloudflareとのサポートチケットの内容が含まれているため、顧客が当社サポートシステムでCloudflareと共有した情報（ログ、トークン、パスワードなど）はすべて侵害されたと見なすべきであり、このチャネルを通じて当社と共有した認証情報は必ずローテーションするよう強く推奨します」とCloudflareのブログは述べています。

SaaSアプリのセキュリティベンダーAppOmniのCSOであるCory Michal氏は、Cloudflareの自社の役割の説明方法を称賛しました。

「CloudflareによるSalesloft/Driftインシデントの開示は、サイバーセキュリティ報告における透明性と説明責任の優れた例として際立っています。彼らのブログは明確な技術的詳細を提供するだけでなく、サードパーティ統合によるリスクについても率直に責任を受け入れています」とMichal氏は述べています。「今後、SaaS環境とツールチェーンのセキュリティ強化を約束することで、Cloudflareはインシデント対応において成熟とリーダーシップを示し、サプライチェーン侵害後のコミュニケーション、是正、信頼回復のあり方に高い基準を設けました。」

OAuthトークンの無効化

Erik Avakian氏（Info-Tech Research Groupの技術顧問、元ペンシルベニア州CISO）は、ユーザーは「未使用のOAuthトークンを定期的に無効化・更新し、可能な限り有効期限を強制するべきであり、これらはゼロトラストの基本原則に沿った実践です」と推奨しています。

「このインシデントはまた、この種の攻撃がSaaSリスクの増大を示している理由を浮き彫りにしています。サードパーティアプリに直接APIアクセスを許可する場合、私たちは実質的に自分たちのパスワードと同じくらい慎重に認証トークンを守るよう彼らに信頼を置いていることになります」とAvakian氏は述べています。「しかし、環境全体でゼロトラストの考え方を重視し実践すれば、サードパーティアプリやSaaSも他の外部ネットワークと同様に扱うべきです。」

Avakian氏はまた、「サードパーティ契約を定期的に見直し、侵害通知、監査権、データ取扱い、サブプロセッサの透明性など、適切なセキュリティ条項が盛り込まれていることを確認すること」を推奨しています。これにより、どの下請け業者やサブプロセッサが全体のアプリケーション環境に関与しているかを組織が把握できるようになります。

Will Townsend氏（Moor Insights & StrategyのVP/主席アナリスト）は、今回の攻撃について「どのように侵害されたのかという疑問が生じます。APIレベルの統合が原因のようですが、膨大な数の呼び出しがあるため監視が難しいです。今後、数千のエージェントが関与するエージェンティックAIフレームワークの普及を考えると、このインシデントは貴重な学びの機会となるでしょう。アイデンティティとアクセス管理はさらに困難になり、APIセキュリティも今後の攻撃を阻止するために進化し続けると予想されます」と述べています。

Paddy Harrington氏（Forresterのシニアアナリスト）は、このインシデントを「またしてもOAuthトークン攻撃」と表現し、「相互接続されたソフトウェアサプライチェーンに内在する危険性を示しています。軽く聞こえるかもしれませんが、これは過去にも何度も起きており、少しの設定ミスで侵害されることが明らかになっています」と述べています。

本当の難題はこれから

Harrington氏は、CISOにとって本当の難題はこれからだと述べています。 

「Salesforceの顧客は自社の顧客記録をくまなく調べて、誰が漏洩したのかだけでなく、どのような詳細情報が流出した可能性があるかも確認する必要があります」とHarrington氏は述べています。「営業担当者は、連絡先ごとに複数の接続方法（セカンダリメール、電話番号など）を保存している場合があり、それがフィッシング/スミッシング/ビッシング攻撃につながる可能性があります。Zscaler、Palo Alto、その他数百社の関係者を装った攻撃が増えるでしょう。」

Harrington氏はまた、今後のフィッシング攻撃は通常よりも効果的になる可能性が高いと強調しています。

「ソーシャルエンジニアリング攻撃は、ターゲットに対してランダムな情報ではなく、実際に流出した正規の営業情報を使うため、より強力になります」とHarrington氏は述べています。「そのため、詐欺と正規の連絡やメッセージを見分けるのが非常に難しくなるでしょう。」