CloudflareとPalo Alto Networksは、Salesloft Driftアプリを通じて脅威アクターにSalesforceインスタンスへアクセスされた最新の大手企業であることを明らかにしました。
Cloudflareは昨日の投稿で、先週、自社のSalesforceテナントで不審な活動に気付いたと述べています。
「調査の結果、脅威アクターは2025年8月9日に最初の偵察が観測された後、2025年8月12日から17日の間に当社のSalesforceテナントからデータを侵害し、持ち出したことが判明しました」と続けています。
「詳細な分析により、露出はSalesforceケースオブジェクトに限定されていたことが確認されました。これらは主にカスタマーサポートチケットと、それに関連する当社Salesforceテナント内のデータで構成されています。」
Salesloftキャンペーンの詳細はこちら:Salesloft侵害でZscaler顧客情報が流出
Salesforceケースオブジェクトには、サポートケースに関連する顧客連絡先情報、ケースの件名、ケースのやり取り本文が含まれますが、添付ファイルは含まれないとCloudflareは強調しています。
「Cloudflareは、サポートケースで顧客に秘密情報、認証情報、APIキーの共有を求めたり、要求したりすることはありません」と同社は述べています。
「しかし、トラブルシューティングの一部のシナリオでは、顧客がキーやログ、その他の機密情報をケースのテキスト欄に貼り付ける場合があります。このチャネルを通じて共有されたものは、すべて侵害されたと見なすべきです。」
Cloudflareは、このチャネルを通じて共有された認証情報をすべてローテーションするよう顧客に呼びかけています。また、侵害されたデータセット内に104件のCloudflare APIトークンが見つかり、念のためすべてローテーションしたとしています。
別途、Palo Alto Networksも昨日、同じ脅威アクターによって自社のSalesforceデータにアクセスされたことを明らかにしました。
「関係するデータは主にビジネス連絡先情報、社内の営業アカウント、顧客に関連する基本的なケースデータです。このインシデントを重く受け止めており、より機密性の高いデータが露出した可能性がある一部の顧客には個別に連絡を取っています」と述べています。
さらなる標的型攻撃の可能性は?
Cloudflareは、このキャンペーンで数百社が被害を受けたことを確認しています。UNC6395と特定された脅威アクターは、Salesforceと連携するサードパーティアプリSalesloft Driftに関連するOAuthトークンを最初に侵害しました。
GoogleのThreat Intelligence Group(GTIG)によると、8月8日から18日の間に、彼らは認証情報を探すために大量のデータを組織的に持ち出しました。
Cloudflareもこの分析に同意しているようです。
「このDriftの侵害で数百の組織が影響を受けたことから、脅威アクターがこの情報を利用して、影響を受けた組織の顧客に対して標的型攻撃を仕掛ける可能性があると考えています」と警告しています。
このテック企業の発表は、Zscalerも同様にデータ窃取キャンペーンの影響を受けたことを認めた数日後に行われました。
一部の専門家は、国家レベルのアクターが関与している可能性を指摘しています。GTIGは現時点で、今回の件とSalesforce顧客を狙ったShinyHuntersのビッシングキャンペーンとの関連性は見つかっていないとしています。
画像クレジット:Saulo Ferreira Angelo / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/cloudflare-victimized-in-salesloft/