クラウドベースのSaaS(サービスとしてのソフトウェア)大手であるWorkivaは、第三者の顧客関係管理(CRM)システムにアクセスした攻撃者によって、一部の顧客データが盗まれたことを顧客に通知しました。
同社のクラウドソフトウェアは、財務報告、コンプライアンス、監査のためのデータ収集・連携・共有を支援します。昨年末時点で6,305社の顧客を持ち、2024年には7億3,900万ドルの収益を報告しています。
顧客リストには、フォーチュン500企業の85%や、Google、T-Mobile、デルタ航空、Wayfair、ハーシー、Slack、コグニザント、サンタンデール、ノキア、クラフトハインツ、ウェンディーズ、パラマウント、エールフランスKLM、メルセデス・ベンツなどの著名なクライアントが含まれています。
先週、影響を受けたWorkivaの顧客に送信された非公開のメール通知(BleepingComputerが確認)によると、脅威アクターは氏名、メールアドレス、電話番号、サポートチケットの内容など、限定的な業務連絡先情報を持ち出しました。
「これは、最近複数の大手組織を標的とした事案と類似しています。重要なのは、Workivaプラットフォームおよびその中のデータにはアクセスも侵害もされていないことです」と同社は説明しています。「当社のCRMベンダーから、連携されたサードパーティアプリケーション経由で不正アクセスがあったと通知を受けました。」
Workivaはまた、盗まれた情報がスピアフィッシング攻撃に利用される可能性があるため、影響を受けた顧客に警戒を続けるよう注意を促しました。
「Workivaがパスワードやその他の機密情報を求めて、テキストや電話で連絡することは決してありません。Workivaからのすべての連絡は、信頼できる公式サポートチャネルを通じて行われます」と述べています。
Salesforceのデータ侵害
Workivaはこの攻撃に関する詳細を明かしていませんが、BleepingComputerは、このインシデントがShinyHuntersという恐喝グループに関連する最近のSalesforceデータ侵害の一環であり、多くの著名企業に影響を与えていることを把握しています。
最近では、Cloudflareが公表したところによると、ShinyHuntersの脅威アクターによって盗まれた104個のCloudflareプラットフォーム発行トークンのローテーションを余儀なくされました。彼らは8月中旬、カスタマーサポートや社内顧客ケース管理に使われていたSalesforceインスタンスにアクセスしていました。
ShinyHuntersは、今年初めからボイスフィッシング(vishing)を使ってSalesforceの顧客を標的にデータ窃取攻撃を行っており、Google、Cisco、Allianz Life、Farmers Insurance、Workday、Qantas、Adidas、およびLVMH傘下のDior、Louis Vuitton、Tiffany & Co.などの企業に影響を与えています。
最近では、恐喝グループはSalesloftのDrift AIチャットとSalesforceの連携に使われる盗まれたOAuthトークンを利用する手法にシフトし、顧客のSalesforceインスタンスにアクセスして、顧客メッセージやサポートチケットからパスワード、AWSアクセスキー、Snowflakeトークンなどの機密情報を抽出しています。
この手法を使い、ShinyHuntersはSalesforce CRMデータの窃取に加え、少数のGoogle Workspaceアカウントにもアクセスし、さらにサイバーセキュリティ企業であるZscalerやPalo Alto NetworksのSalesforceインスタンスにも侵入しました。
