サイバーセキュリティ企業のProofpoint、SpyCloud、Tanium、Tenableは、最近発生したSalesforce–Salesloft Drift攻撃の一環として、自社のSalesforceインスタンス内の情報が侵害されたことを確認しました。
このキャンペーンは8月26日に公に明らかにされ、Googleの脅威インテリジェンスチームがUNC6395として追跡されている脅威アクターが、サードパーティAIチャットボットであるSalesloft Driftの侵害されたOAuthトークンを使用して大量のデータをエクスポートしたと報告しました。
Googleによると、攻撃者はSalesforce-Salesloft Driftの連携を悪用し、AWSアクセスキー、パスワード、Snowflake関連のアクセストークンなどの機密情報を標的に、数百の組織に関するデータを盗み出しました。
当初、この攻撃はDrift連携を利用している組織のみに影響すると考えられていましたが、その後、他のSalesforce顧客にも影響が及んでいることが判明しました。
8月28日、GoogleはWorkspaceの顧客も影響を受けたことを明らかにし、セキュリティ企業のCloudflare、Palo Alto Networks、Zscalerも影響を公表しました。
全体として、この攻撃は700以上の組織に影響を与えたと推定されており、Proofpoint、SpyCloud、Tanium、Tenableが被害を受けたことを確認しています。
Proofpointは、攻撃者が侵害されたDrift連携を通じて自社のSalesforceテナントにアクセスし、そこに保存されていた特定の情報を閲覧したことを明らかにしました。
「現時点では、このサプライチェーンインシデントがProofpointのソフトウェア、サービス、セキュリティ製品、顧客保護データ、または社内ネットワークに影響を及ぼした証拠はありません」と同社は述べています。
広告。スクロールして続きをお読みください。
かつてSalesloft Driftの顧客であったSpyCloudは、今回の攻撃で標準的な顧客関係管理フィールドが侵害されたと発表しました。
「消費者データがアクセスされたとは考えていません。先週、SpyCloudとの関係に関するデータがこのSalesloft Driftインシデントを通じて漏洩したことをお客様に通知しました」とSpyCloudは述べています。
Taniumは、攻撃者がSalesloft Driftの連携を悪用して自社のSalesforceインスタンス内のデータにアクセスし、氏名、メールアドレス、電話番号、地域/所在地の参照情報などが侵害されたことを確認しました。
「不正アクセスは弊社のSalesforceデータに限定されており、Taniumプラットフォームやその他の内部システム、リソースへのアクセスは一切ありませんでした」とTaniumは明言しています。
Tenableは、サポートケース情報(件名、初期説明、氏名、電話番号、業務用メールアドレス、地域/所在地の参照などのビジネス連絡先情報)が今回の攻撃で侵害されたことを明らかにしました。
同社はまた、盗まれた情報が悪用された証拠はないとし、認証情報のローテーション、アプリケーションの削除、システムの保護、Salesforceインスタンスの監視など、必要な対応をすべて行ったと付け加えています。
関連記事: なりすまし犯がAIを使いRubio氏になりすまして海外および米国当局者に接触
関連記事: ソフトウェア開発チームのための効果的なセキュリティベンチマークの実装方法
翻訳元: https://www.securityweek.com/more-cybersecurity-firms-hit-by-salesforce-salesloft-drift-breach/