2025年9月8日Ravie Lakshmananサプライチェーン攻撃 / APIセキュリティ
Salesloftは、同社のDriftアプリケーションに関連する情報漏えいが、GitHubアカウントの侵害から始まったことを明らかにしました。
Google傘下のMandiantはこのインシデントの調査を開始し、UNC6395として追跡されている脅威アクターが2025年3月から6月にかけてSalesloftのGitHubアカウントへアクセスしたと述べました。これまでに22社がサプライチェーン侵害の影響を受けたことを確認しています。
「このアクセスにより、脅威アクターは複数のリポジトリからコンテンツをダウンロードし、ゲストユーザーを追加し、ワークフローを確立することができました」とSalesloftは最新のアドバイザリで述べています。
調査では、2025年3月から6月の間にSalesloftおよびDriftアプリケーション環境で偵察活動が行われていたことも明らかになりました。しかし、限定的な偵察活動以外の証拠はないと強調しています。
次の段階では、攻撃者はDriftのAmazon Web Services(AWS)環境にアクセスし、Drift顧客の技術統合用OAuthトークンを取得しました。盗まれたOAuthトークンはDriftの統合機能を通じてデータアクセスに利用されました。
Salesloftは、Driftのインフラ、アプリケーション、コードを隔離し、2025年9月5日午前6時(米東部時間)にアプリケーションをオフラインにしたと述べています。また、Salesloft環境の認証情報をローテーションし、SalesloftとDriftアプリケーション間のセグメンテーション制御を強化して環境を堅牢化しました。
「DriftとAPIキーで連携しているすべてのサードパーティアプリケーションについて、既存のキーを積極的に無効化することを推奨します」と付け加えています。
2025年9月7日午後5時51分(UTC)時点で、Salesforceは8月28日に一時停止していたSalesloftプラットフォームとの連携を復旧しました。これはSalesloftによるセキュリティ対策および是正措置の実施を受けたものです。
「SalesforceはSalesloft関連技術との連携を再開しましたが、Driftアプリは除外されています」とSalesforceは述べています。「Driftは、セキュリティインシデントへの対応の一環として、今後の通知があるまで無効のままとなります。」
翻訳元: https://thehackernews.com/2025/09/github-account-compromise-led-to.html