Rob Wright、シニアニュースディレクター、Dark Reading
2025年9月8日
読了時間:4分
出典:imageBROKER.com(Alamyストックフォト経由)
今年初め、脅威アクターがSalesloftのGitHubアカウントを侵害し、先月発生した大規模なサプライチェーン攻撃の引き金となりました。この攻撃により、数百のSalesforceインスタンスが侵害されました。
UNC6395として追跡されている脅威アクターは、SalesloftのDriftアプリケーション(Salesforceと連携)から盗まれたOAuthトークンを利用して、先月の侵害を実行し、機密データを窃取しました。先週、複数のサイバーセキュリティおよびテクノロジー企業が、自社のSalesforceインスタンスがサプライチェーン攻撃で侵害されたことを公表しました。
土曜日、SalesloftはMandiantによる攻撃調査の最新情報を公開し、攻撃の経緯についてより明確な説明を行いました。このアップデートによると、MandiantはSalesloftへの最初の攻撃が3月にはじまり、同社のGitHubアカウントの侵害が関与していたと判断しました。
UNC6395は複数のSalesloftリポジトリからデータをダウンロードし、3月から6月にかけてSalesloftおよびDriftアプリケーション環境で偵察活動を行いました。そこから、脅威アクターはDriftのAmazon Web Services(AWS)環境にアクセスし、Drift顧客のテクノロジー連携用OAuthトークン(Salesforceに限らず)を窃取しました。
8月下旬に公開された最新のブログ記事で、Google Threat Intelligence Group(GTIG)は新たに検出した情報に基づき、UNC6395によるOAuthトークンの悪用はSalesforceに限定されていないと述べました。そのため、GITGはすべてのSalesloft Drift顧客に対し、「Driftプラットフォームに保存または接続されているすべての認証トークンを潜在的に侵害されたものとして扱う」よう呼びかけています。
GitHub攻撃ベクトル
SalesloftのGitHubアカウントがどのように侵害されたかは不明です。Mandiantの調査に関する同社のアップデートでも、UNC6395がどのように最初にアカウントへアクセスしたかは明記されていません。しかし、近年GitHubはさまざまな脅威アクターにとって、コードポイズニングキャンペーンから開発者を狙ったサプライチェーン攻撃まで、多様な攻撃ベクトルとして浮上しています。
サイバーセキュリティベンダーGitGuardianのデベロッパーアドボケートであるDwayne McDaniel氏は、脅威アクターがGitHubでどのようなデータを取得したかは不明だが、サプライチェーン攻撃はよくある、しかし懸念すべきパターンに従っていると述べています。
「これは、シークレットを使ったラテラルムーブメント(横移動)の完璧な例です」と同氏はDark Readingに語ります。「企業は『うちのリポジトリは非公開だから大丈夫』という誤った安心感を持っていますが、アカウントが1つでも侵害されれば、シークレットが漏洩するのです。」
GitHubは、認証情報やAPIキー、暗号化キーなどのシークレット保護を支援するセキュリティ機能を実装していますが、McDaniel氏によれば、組織は依然として驚くべき頻度で機密データを露出させています。GitGuardianの2025年版「State of Secrets Sprawl」レポートによると、2024年に公開コミットで検出されたシークレットは2,370万件を超え、前年の約1,900万件から大幅に増加しています。
「残念ながら減少ではなく増加傾向にあります」とMcDaniel氏は述べています。
Salesloft Drift攻撃の拡大
Salesloftのアップデートは、先週、Zscaler、Proofpoint、Palo Alto Networks、Cloudflareなど、Salesforceインスタンスが侵害されたDrift顧客からの複数の公表に続くものです。複数の企業が、UNC6395のアクターが社内の営業アカウントデータ、連絡先情報、基本的なケースデータを取得したと述べる一方、Cloudflareは、Salesforceに保存されていた一部のカスタマーサポートケースに設定情報や104件のCloudflare APIトークンが含まれていたことを明らかにしました。
Cloudflareは、不審な活動は検出されていないものの、念のためトークンをローテーションしたと述べています。McDaniel氏は、Salesforceの利用が年々拡大していることから、カスタマーサポートケースやチケットを通じてキーや認証情報などの技術データをSalesforceに保存している組織があるのは驚くことではないと指摘します。「今ではリポジトリ以外の多くの場所、Salesforceを含め、認証情報が見つかります」と同氏は述べています。
TenableやQualysを含むさらなる被害企業が明らかになり、Rubrik、Spycloud、BeyondTrust、CyberArk、Elastic、Dynatrace、Cato Networks、BugCrowdなど、すでに長いリストに加わっています。Salesloftは、同社のDrift-Salesforce連携を利用していない顧客には影響がなかったとしていますが、攻撃による影響を受けた組織の数は不明です。Cloudflareは、自社の公表で、サプライチェーンキャンペーンで標的となった「他の数百社」のうちの1社に過ぎないと述べています。
サプライチェーン攻撃への対応の一環として、SalesforceはSalesloftとのすべての連携を無効化していましたが、日曜日の別のアップデートで、Salesloftは自社プラットフォームとSalesforceの連携が再開されたと発表しました。
「SalesloftプラットフォームとSalesforceの連携が復旧したことをお知らせします。Salesforceユーザーは、Salesloftプラットフォームのすべての機能と連携を再び安心してご利用いただけます」とアップデートには記載されています。
しかし、Salesforceは同日発表した独自のセキュリティ勧告で、「Driftアプリを除く」Salesloft製品および技術との連携を復旧したと述べています。
この勧告によれば、「Driftは、セキュリティインシデントへの継続的な対応の一環として、追って通知があるまで無効のままとなります。」