出典: Stephen Barnes/Military via Alamy Stock Photo
Salesloft Driftのサプライチェーン攻撃によるデータ侵害を開示する顧客が増える中、これらの侵害がどれほど深刻で、今後どれほど悪化するのかについては依然として疑問が残っています。
先月、Salesloftは開示しました。8月8日から18日にかけて、脅威アクター(後にGoogleによってUNC6395と特定)が、Salesforce統合からOAuthおよびリフレッシュトークンを盗み、同社のマーケティングSaaS製品Driftに侵入しました。UNC6395はその後、これらのトークンを使用して一部のSalesloft顧客環境に横展開し、データを窃取しました。
SalesloftはDrift内のアクティブなアクセスおよびリフレッシュトークンを無効化し、Salesforceは今後の通知があるまでSalesloftのSalesforce統合をすべて無効にしました。8月28日の調査でGoogleは、「すべてのSalesloft Drift顧客に対し、Driftプラットフォームに保存または接続されているすべての認証トークンを潜在的に侵害されたものとして扱うよう」勧告しました。この攻撃はSalesforceだけでなく、他のSalesloft統合にも影響を及ぼしました。
多くの企業がこのキャンペーンによる二次的な侵害を開示しています。ZscalerおよびPalo Alto Networksは最初に被害を公表した企業の一つであり、その後、Proofpoint、Cloudflare、Tenableなどが続きました。しかし、UNC6395のキャンペーンの広範な影響にもかかわらず、最終的な規模や深刻さは依然として不明です。
影響範囲の定義
8月30日のZscalerの開示によると、Zscalerの最高情報セキュリティ責任者(CISO)であるSam Curry氏は、脅威アクターがSalesforceに保存されていた同社のデータ(氏名、ビジネスメールアドレス、役職、電話番号、所在地、製品ライセンス情報、一部の平文サポートケース内容)にアクセスしたと述べました。同様に、Palo Alto Networksも顧客に関連するビジネス連絡先情報や基本的なケースデータが対象になったと述べています。
そのため、ZscalerとPANの両社が、このキャンペーンの結果としてソーシャルエンジニアリング攻撃が発生する可能性について警告したのは理にかなっています。たとえデータが機密性の高いIPや即座に恐喝の機会となる情報でなくても、基本的なビジネスデータは、信憑性の高いスピアフィッシングの誘因やビッシング攻撃に利用される可能性があります。
それでも非常に深刻なサプライチェーンインシデントであることに変わりはありませんが、もし盗まれたデータが「基本的なケースデータ」の範囲にとどまるなら、REvilによる2021年のKaseya攻撃とは大きく異なります。しかし、Salesforceインスタンスには他の種類のデータが保存されている場合もあります。
Cloudflareの9月2日の開示では、「Cloudflare外部の誰かが当社のSalesforceインスタンスにアクセスし、当社がカスタマーサポートや内部顧客ケース管理に使用しているデータの一部にアクセスした」と述べています。Cloudflareによれば、ほとんどのデータは顧客連絡先情報や基本的なサポートケースデータでしたが、「一部のカスタマーサポートのやりとりには顧客の設定情報や、アクセストークンのような機密情報が含まれている可能性がある」としています。
「SalesforceのサポートケースデータにはCloudflareとのサポートチケットの内容が含まれているため、当社のサポートシステムを通じてCloudflareに共有されたすべての情報(ログ、トークン、パスワードなどを含む)は侵害されたと見なすべきであり、このチャネルを通じて共有した認証情報は必ずローテーションするよう強く推奨します」と開示文は述べています。
設定情報やアクセストークンは基本的なケース情報よりもはるかに深刻であり、Googleが他のSalesloft統合も影響を受けたと述べていることから、このキャンペーンの深刻さには依然として大きな疑問が残っています。
Dark Readingは複数のインシデント対応企業に現状について意見を求めました。SentinelOneは直接的なコメントはしませんでしたが、広報担当者は同社がこのサプライチェーン攻撃の影響を受けていないことを確認しました。
Rapid7のSVP兼チーフサイエンティストであるRaj Samani氏はDark Readingに対し、このキャンペーンが特に危険なのは、盗まれたOAuthトークンを使うことで、データ侵害が正当な認証済みアクセスに見え、アラートが発生しない可能性がある点だと述べています。
「OAuthトークンは非常に価値の高い認証情報です。攻撃者がOAuthトークンを入手すると、正規のアプリケーションやユーザーと同じ権限でSalesforceデータにアクセスできます。Salesforceはこれらのトークンを信頼しているため、アカウント侵害で通常発生するアラームが上がらずに悪意ある活動が行われる可能性があります」とSamani氏は述べています。「初期の調査や報告では高度な手口は明らかになっていませんが、報告された攻撃は目的を達成するのに十分なほど洗練されており、長期的な被害は今後明らかになるでしょう。」
Dark Readingが連絡したほとんどの企業はコメントを控えました。
成功した防御と取るべき対策
他の最近の開示とは対照的に、Oktaは今週ブログ記事を公開し、脅威アクターの試みがあったものの、自社のSalesforceインスタンスへの侵害を防ぐことに成功したと説明しました。
「当社のセキュリティチームはシステムを徹底的に調査し、盗まれたトークンを使ったリソースへのアクセスの試みがあったことを確認しましたが、防御策が設計通りに機能し、侵害を防ぐことができました」とOktaは述べています。
ブログ記事によると、OktaのSalesforceインスタンスが攻撃者に侵害されなかった最も重要な要因は、インバウンドIP制限の強制、DPoP(Demonstrating Proof of Possession)によるトークンの保護、そしてInteroperability Profile for Secure Identity in the Enterprise(IPSIE)というアプリケーション間フレームワークの利用でした。このフレームワークは、アプリケーション間でセキュリティイベントのシグナルを共有し、標準化された即時のトークン失効を可能にします。
この防御の結果として、Oktaは組織に対し、アプリケーションベンダーにIPSIE統合を求め、アプリケーション全体で統合されたアイデンティティセキュリティファブリックを実装するよう推奨しています。
一方、Palo Alto NetworksのUnit 42は、組織に対し、侵害の兆候を確認するための即時のログレビュー、および露出した認証情報の見直しとローテーションを推奨しています。
Dark ReadingはOktaに、攻撃者側の攻撃の高度さについて質問しました。Oktaの脅威インテリジェンスチームは声明で、「攻撃者がOAuthトークンを取得した方法についてはコメントできませんが、攻撃者がそれらを使って何をしたかから学ぶことができます」と述べています。
「業界全体として、単一の組織の侵害による影響範囲(ブラストラディウス)をどう縮小するかについて、協調して考える必要があります。すべてのSaaSベンダーが、IPやクライアントごとにアクセストークンの利用を制限できる機能をサポートすれば、盗まれたアクセストークンの攻撃者にとっての価値は劇的に下がります」とOktaは述べています。「また、すべてのSaaSベンダーは、M2M(マシン・トゥ・マシン)統合のための権限が、トークンの盗難によるデータ全体の損失を減らせるほど細かく設定されているかどうかも検討すべきです。」