Palo Alto Networks、Zscaler、Cloudflareでのデータ漏洩

PeopleImages.com – Yuri A/ Shutterstock.com

Palo Alto Networks、ZScaler、Cloudflareは、Salesloft Driftを通じたサイバー攻撃の被害を受けたことを発表しました。これは営業プロセスを自動化するサードパーティアプリケーションで、Salesforceデータベースと連携し、リードや連絡先情報の管理に利用されています。

Palo Altoで連絡先情報が流出

Palo Altoの声明によると、この攻撃は自社を含む数百社のサプライチェーンに影響を及ぼしました。事件は自社のCRMプラットフォームに限定されており、同社の製品やサービスには影響がなかったとしています。

「流出したデータは主に、業務用の連絡先情報、社内の販売アカウント、および顧客に関連する基本的なケースデータです」とITセキュリティ企業は述べています。

特定の場合にはより大きな被害も

ただしPalo Altoは、一部のエンドユーザーが他よりも大きな影響を受けていることも報告しています。その理由は、これらの企業がSalesforce内の安全でないメモ欄に機密データを保存することを選択したためです。これら流出データのほとんども、同社によれば業務用の連絡先情報とのことです。

「現在のケースノートに認証情報などの機密情報を記載していたごく一部の顧客については、これらのデータも漏洩した可能性があります」とPalo Altoの広報担当者は、米国の姉妹誌CSOへのメールで説明しています。

より深刻な侵害の可能性

LexisNexis Risk SolutionsのSVP兼CISOであるFlavio Villanustre氏は、ZscalerとPalo Altoの場合、攻撃が特に問題となり得ると説明しています。両社ともSASE分野のソリューションを提供しているため、侵害が第三者やさらにその先にまで影響を及ぼす可能性があるからです。

専門家によると、両社は顧客の安全なアクセスのために認証プロセスに関与している点に注意が必要です。一般的にSalesforce関連のインシデントは、認証情報の侵害、トークンの盗難、オープンなエンドポイントが原因で発生します。ZscalerとPalo Altoへの攻撃もこのパターンに該当する可能性があります。

情報は盗まれたがファイルは無事

Zscalerも声明で、攻撃によってSalesloft Driftに関連するOAuthトークンが盗まれたことを明らかにしています。

同社は、流出した可能性のある情報の種類を以下のように発表しています：

• 氏名、
• メールアドレス、
• 職種、
• 電話番号、
• 地域や所在地に関する詳細、
• Zscaler製品ライセンスおよび商業情報、
• 特定のサポートケースからの平文データ。

添付ファイル、ドキュメント、画像などは影響を受けていないとZscalerは発表しています。

Palo Altoによる説明と対策

Palo AltoのUnit 42はブログ記事で、攻撃の手口と同社が推奨する対策について説明しています。記事によると、攻撃者はアカウント、連絡先、ケース、商談データなどの機密情報を大規模に盗み出しました。

データを抜き取った後、攻撃者はそれらの中から認証情報を積極的に探していたようだとPalo Altoは述べています。専門家は、さらなる攻撃を容易にしたり、アクセス範囲を広げるためだったと推測しています。

同社はまた、「攻撃者が自らの作業の証拠を隠すためにクエリを削除していたことも観測されています」と述べています。Palo Altoはこれをアンチ・フォレンジック技術とみています。

同社は、認証情報を定期的に変更すること、そして「Drift連携の認証活動を検証するための指示」に従うことを強く推奨しています。

Salesforceを徹底的に調査する

さらに専門家は、2025年8月8日から現在までのSalesforceのログイン履歴、監査証跡、APIアクセスログを精査するよう勧めています。特にイベント監査ログが有効な場合は、Drift Connection Userに関連する異常な活動がないか確認すべきです。

 ITセキュリティ企業はまた、Drift Connected Appの認証活動を詳しく調査するよう勧めています。特に注目すべきは

• 不審なログイン試行、
• 異常なデータアクセスパターン、
• Python/3.11 aiohttp/3.12.15のユーザーエージェント文字列などの指標、
• 既知の脅威アクターのIPアドレスからの活動。

また、Palo Altoは、どのSalesforce Object-Query-Language（SOQL）クエリが実行されたかを記録するUniqueQueryイベントも調査するよう推奨しています。これにより、攻撃者がどのSalesforceオブジェクト（アカウント、連絡先、商談、ケース）やその中のどのフィールドを照会したかを特定できます。

Cloudflare、一部の責任を認める

Cloudflareのブログ記事は、Palo AltoやZscalerの発表とは異なり、同社が事件に対して一定の責任を認めています。同社は、セキュリティ侵害はサードパーティから発生したと強調しつつも、そのサービスを自ら導入していたことを認めました。

「私たちは、自社のビジネスを支えるために使用するツールの選択に責任があります」とCloudflareは述べ、顧客に謝罪しました。

またCloudflareは、入力されるべきでなかったデータが流出したとも記しています。「SalesforceのサポートケースデータにはCloudflareのサポートチケットの内容が含まれているため、Cloudflareのサポートシステムを通じて顧客が共有した可能性のあるすべての情報―ログ、トークン、パスワードを含む―は、漏洩したものと見なすべきです。」

同社は、このチャネルを通じてCloudflareと共有したすべての認証情報を直ちに変更するよう強く推奨しています。

社内で慎重に確認を

影響を受けた企業が今取るべき対応について、外部の専門家もアドバイスをしています：

Info-Tech Research Groupの技術顧問であり、元ペンシルベニア州CISOのErik Avakian氏は、サードパーティアプリやOAuthトークンの取り扱いにおけるゼロトラスト原則の重要性を強調しています。未使用のトークンは定期的に失効・更新し、可能な限り有効期限を強制すべきだと助言しています。APIアクセス権を持つサードパーティやSaaSも外部ネットワークと同様に扱うべきだと専門家は述べています。

さらに、第三者との契約を定期的に見直し、十分なセキュリティ条項が含まれていることを確認することを推奨しています。特に重要なのは、

• 違反時の通知、
• 監査権、
• データ処理、
• 下請け業者の透明性

最後の点は、どの下請け業者や委託先が全体のアプリケーション環境に含まれているかを企業が把握するのに役立ちます。

APIの失敗から学ぶ

Moor Insights & Strategyの副社長兼主任アナリストのWill Townsend氏は、今回の攻撃がどのようにして起こったのかという疑問を投げかけています。同氏は、APIレベルでの連携が原因であると考えています。膨大な呼び出し回数のため、監視が難しいと説明しています。

今後、エージェントベースのAIフレームワーク内で何千ものエージェントが相互作用することが予想される中、この事件は貴重な学びの機会にもなります。アイデンティティとアクセスの管理は今後さらに難しくなると同氏は述べています。一方で、「APIセキュリティも進化し、将来の攻撃を阻止できるようになる」と見込んでいます。

すでに何度も起きている

Forresterのシニアアナリスト、Paddy Harrington氏は、この事件を「また新たなOAuthトークン攻撃」と表現しています。これは、連携したソフトウェアサプライチェーンの危険性を示しているものの、過去にも何度も起きていると指摘しています。同氏は「わずかな設定ミスでも攻撃のきっかけになる」と今回の事件が示していると述べています。

同氏は、CISOにとって最も困難な作業はこれからだと強調します。Salesforceの顧客は、自社の顧客データを精査し、誰が影響を受け、どの情報が外部に漏れた可能性があるかを特定しなければなりません。

また、営業担当者が複数の連絡方法（サブのメールアドレスや電話番号など）を保存していた可能性もあるとアナリストは推測しています。

これにより、これらの業務連絡先を使ったフィッシング、スミッシング、ビッシング攻撃が多数発生する可能性があると同氏は強調します。攻撃者はZscalerやPalo Alto、または今回のデータ漏洩の他の被害企業の社員になりすます可能性があるとHarrington氏は述べています。

また、今後のフィッシング攻撃は通常よりも効果的になる可能性が高いとアナリストは予測しています。ソーシャルエンジニアリング攻撃の威力が増すためです。攻撃者がターゲットに関するランダムな情報ではなく、正確な営業情報を持っているため、詐欺の電話やメッセージを正規の連絡と見分けるのが非常に難しくなる、と専門家は説明しています。（tf/jd）