サイバーセキュリティプロバイダーのTenableとQualysは、Salesforceの顧客データを標的とした重大なサプライチェーン攻撃の影響を受けた企業リストに新たに加わりました。
この攻撃キャンペーンでは、Salesforceと連携し、ワークフローの自動化やリード・連絡先情報の管理に利用されるサードパーティアプリ「Salesloft Drift」に接続されたOAuth認証トークンが盗まれました。
9月3日のセキュリティアラートで、脆弱性評価企業Tenableは、認可されていないユーザーが同社のSalesforceインスタンスに保存されている一部顧客情報にアクセスしたと発表しました。
このデータには、Tenableのサポートケースを開設する際に顧客が提供した件名や初期説明、さらに氏名、ビジネス用メールアドレス、電話番号、所在地など一般的に入手可能なビジネス連絡先情報が含まれていました。
「現時点で、これらの情報が不正利用された証拠はありません」と同社は述べています。Tenableの製品や製品スイート内のデータには影響はありませんでした。
3日後の9月6日、リスク管理企業Qualysも同様のアラートを発表し、OAuthトークン窃取キャンペーンで盗まれた認証情報により、攻撃者が「一部のQualys Salesforce情報に限定的にアクセスできた」と述べました。
Tenableと同様に、Qualysも自社の製品やサービスには影響がなく、引き続き完全に稼働していることを確認しました。
両社とも、Salesloft Driftアプリケーションを無効化し、システムとの連携を解除または連携認証情報をローテーションしたと述べています。
Tenableはまた、今後の悪用リスクを低減するため、Salesforce環境や他の接続システムのセキュリティ強化も行いました。
Qualysは、不正アクセスの可能性を封じ込めるための対応を実施したとし、またSalesforceおよびGoogle CloudのMandiantと協力して調査を進めていると述べています。
「SalesDrift」ハック:拡大する被害企業リスト
Salesloft Driftサプライチェーン攻撃(「SalesDrift」ハックとも呼ばれる)は、Google Threat Intelligence Group(GTIG)によって最初に特定され、8月26日にその調査結果が共有されました。
Google自身も標的の一つとなり、攻撃者は8月9日に盗まれた認証トークンを悪用して、Google Workspaceの一部ユーザーのメールアカウントに侵入しました。
その後、BeyondTrust、Bugcrowd、Cato Networks、Cloudflare、CyberArk、Elastic、JFrog、Nutanix、PagerDuty、Palo Alto Networks、Rubrik、SpyCloud、Tanium、Zscalerなど、多くの企業が被害を受けたことを確認しています。
Oktaは9月2日、Salesloft Driftキャンペーンに関連した攻撃の試みを阻止したと発表しました。
このアイデンティティセキュリティ企業は、2022年と2023年の過去の侵害を受けて導入した強化されたセキュリティ管理が、今回の攻撃を防ぐのに役立ったと述べています。
これらの対策には、Salesforceへの受信IPアクセスの制限も含まれており、Oktaによれば不正アクセスの試みを未然に防ぐことができたとのことです。
Nudge Securityは、「SalesDrift」ハックの影響を受けた全企業を追跡し、侵害日やセキュリティアドバイザリへのリンクを含むダッシュボードを作成しています。
3月に発生した最初のSalesloft Drift侵害
Salesloftによる9月7日のアップデートによると、ハッカーは今年3月に同社の営業自動化プラットフォームに最初に侵入しました。
攻撃者は、同社の内部システムを把握するためにしばらく潜伏し、6月にSalesloftの顧客からOAuthトークンを盗みました。
その後、8月下旬からこれらのトークンを利用して顧客ネットワークを標的にし始めました。
また、同じく9月7日に公開された後続のアップデートで、SalesloftはSalesloftプラットフォームとSalesforce間の連携が現在は復旧していることを明らかにしました。
翻訳元: https://www.infosecurity-magazine.com/news/qualys-tenable-salesloft-drift-hack/