2025年9月3日Ravie Lakshmananデータ漏洩 / 脅威インテリジェンス,
Salesloftは火曜日、マーケティングSaaS製品を標的とした広範なサプライチェーン攻撃により複数の企業が巻き込まれ、認証トークンの大量窃取が発生したことを受け、「ごく近い将来」Driftを一時的にオフラインにすると発表しました。
「これにより、アプリケーションを包括的に見直し、システムにさらなる耐障害性とセキュリティを構築して、アプリケーションを完全な機能に戻すための最速の道筋を提供します」と同社は述べています。「その結果、顧客ウェブサイト上のDriftチャットボットは利用できなくなり、Drift自体もアクセスできなくなります。」
同社は、システムと顧客データの完全性とセキュリティを確保することを最優先事項としており、インシデント対応の一環としてサイバーセキュリティパートナーであるMandiantおよびCoalitionと協力していると述べています。
この事態は、Google Threat Intelligence Group(GTIG)とMandiantが、Driftの人工知能(AI)チャットエージェントに関連する盗まれたOAuthおよびリフレッシュトークンを利用して顧客のSalesforceインスタンスに侵入したとされる大規模なデータ窃取キャンペーンを公表した後に発生しました。
「2025年8月8日頃から少なくとも8月18日まで、攻撃者はSalesloft Driftサードパーティアプリケーションに関連する侵害されたOAuthトークンを通じてSalesforce顧客インスタンスを標的にしました」と同社は先週述べています。
この活動はUNC6395(別名GRUB1)と呼ばれる脅威クラスターに帰属されており、GoogleはThe Hacker Newsに対し、700以上の組織が影響を受けた可能性があると伝えています。
当初はSalesloftのSalesforceとの統合に限定された被害とされていましたが、その後、Driftと統合しているあらゆるプラットフォームが潜在的に侵害されていることが判明しました。脅威アクターがどのようにして最初にSalesloft Driftへアクセスしたのかは現時点では不明です。
このインシデントを受けて、Salesforceは予防措置としてSalesloftとSalesforceのすべての統合を一時的に無効化しました。被害を受けたことを確認した企業の一部は以下の通りです:
「このインシデントは単発的なものではなく、脅威アクターは将来の攻撃のために認証情報や顧客情報を収集する意図があったと考えています」とCloudflareは述べています。
「今回のDriftの侵害によって数百の組織が影響を受けたことから、脅威アクターはこの情報を利用して、影響を受けた組織の顧客に対して標的型攻撃を仕掛ける可能性があると疑っています。」
翻訳元: https://thehackernews.com/2025/09/salesloft-takes-drift-offline-after.html