Salesloft Driftの情報漏洩が明らかにした「4次委託リスク」とは

最近のSalesLoft Driftの情報漏洩は、私が夜も眠れなくなるような不都合な真実を明らかにしました。そして、それはすべてのCISO（最高情報セキュリティ責任者）も同様に警戒すべきことです。組織はベンダー経由で侵害されたわけではありません。ベンダーのベンダー経由でもありません。どうやら、ベンダーが買収した企業、いわゆる「4次委託先」を通じて、18ヶ月間休眠していたレガシーOAuthトークン経由で侵害されたようです。

事実として、DriftはこれまでSalesforce（連携アプリとして）およびGoogle Workspace（メール連携経由）と統合してきました。今回のインシデントでは、攻撃者はDriftアプリケーションに紐づくOAuthトークンを悪用し、Salesforceインスタンスにアクセスし、Driftのメール連携を通じて一部のGoogle Workspaceアカウントにもアクセスしました。

公表情報では、悪用されたトークンの中にSalesloftによる2024年のDrift買収以前のものが含まれていたかどうかは確認されていません。しかし、いくつかのトークンがレガシーで引き継がれていた可能性は十分にあり、これはM&Aではよくあるシナリオです。トークンの由来に関わらず、リスクのパターンは明確です。

ようこそ、4次委託先による情報漏洩時代へ。あなたの攻撃対象領域は、従来のセキュリティ対策で見える範囲や評価・管理できる範囲をはるかに超えて広がっています。

すべてを変えた情報漏洩

この出来事がどのように起こったのか、イメージしてみてください：

• 2024年2月： SalesLoftがDrift（AI搭載チャットボット企業）を買収
• 隠れたレガシー： Driftが保有していた数千ものSalesforceやGoogle WorkspaceインスタンスへのOAuthトークンが、おそらく有効なまま残存
• 時が経過： トークンやアプリの権限は、明示的にローテーションや無効化されない限り有効なまま
• 2025年8月： 攻撃者がDriftアプリに紐づくOAuthトークンを悪用し、Salesforceデータの列挙・持ち出しを実施。Driftのメール連携経由で一部Google Workspaceアカウントにも影響（Google Threat Intelligence、The Hacker Newsより）
• 結果： 数百の組織が、自分たちでは制御できないベンダー関係を通じて侵害された 

多くの組織は、特にM&A後に、どの連携アプリや引き継いだ統合が自分たちの環境にOAuthアクセス権を持っているか、完全に把握できていません。そのギャップを攻撃者は突いてきます。そして、私たちはそのギャップを埋めなければなりません。

2025年、あなたの本当の攻撃対象領域

セキュリティチームが守っていると思っているもの：

• 自社のSaaSアプリケーション
• 承認済みのベンダー連携
• 文書化されたサードパーティとの関係

実際にさらされているもの：

• ベンダーが買収したすべての企業
• それら買収企業が過去に作成したすべてのSaaS・AIツール連携
• 買収を経て残存したすべてのOAuthトークン
• 誰も覚えていないすべての権限付与

これを実際の数字で考えてみましょう：

現在、企業は膨大なSaaS資産を運用しています。大規模組織では、平均125～200のSaaSアプリを管理しており、シャドーITを含めるとさらに多いという調査もあります。これらのアプリは、通常、複数のサードパーティ/API連携を持ち、成熟した環境では2桁に達することもあります。さらに、ソフトウェア業界のM&Aは近年も活発で、多くの中堅SaaSベンダーが5年間で複数回の買収を行い、その過程で統合や権限も引き継いでいます。

これらを合計すると、非常に厳しい現実が見えてきます。控えめに見積もっても150アプリ×1アプリあたり5～10連携＝約750～1,500の統合リンクを大企業は管理しています。ここに買収で引き継いだOAuth接続やレガシー権限が加わると、露出は数千に及ぶことも珍しくありません。こうして、ほとんど見えないまま拡大する4次委託リスクが生まれ、実際に悪用されるまで気づかれないのです（SQ Magazine、PwCより）。

誰も語らないM&Aの時限爆弾

サプライチェーン上のベンダーが買収を行うたび、あなたは存在すら知らないセキュリティ負債を引き継ぐことになります。なぜこれが危険なのか、理由は以下の通りです：

OAuthトークンは所有権を気にしない

SalesLoftがDriftを買収した際、引き継いだもの：

• 有効期限のないアクティブなOAuthリフレッシュトークン
• 顧客のSalesforceインスタンスへの広範な権限
• Google Workspace環境へのAPIアクセス
• 無期限に継続する信頼関係

これらのトークンは、会社が独立して存在しているかどうかを確認しません。買収が完了したかどうかも気にしません。ただ、動き続けるのです。時には何年も。

可視性のブラックホール

従来のベンダーリスク評価で問われるのは、例えば：

• 「SOC 2認証は取得していますか？」
• 「インシデント対応計画は？」
• 「アクセス制御はどう管理していますか？」

しかし、買収に関してはほとんど、もしくは全く問われません：

• 「過去3年間でどの企業を買収しましたか？」
• 「その企業のOAuth連携は機密データにアクセスしていましたか？」
• 「そのレガシートークンはまだ有効ですか？」
• 「引き継いだすべての権限を列挙できますか？」

ちなみに、最後の質問の答えは、ほぼ間違いなく「できません」です。

なぜ、これがすべてを変えるのか

これは単なるサプライチェーン攻撃ではありません。SaaSセキュリティの考え方そのものが根本的に変わる出来事です。理由は以下の通りです：

1. 一時点評価はもはや無意味

前回のベンダーリスク評価は、すでに時代遅れです。その評価を終えるまでの間に、ベンダーは新たな買収や統合、権限の引き継ぎを行い、あなたが知らないリスクが生まれています。

2. 境界という幻想

「もはや境界はない」と言い続けてきましたが、それでもベンダーの範囲を定義できると思い込んでいました。4次委託の現実は、あなたの境界が見えない買収チェーンを通じて無限に広がっていることを意味します。

3. 信頼関係は永続する

一度OAuthトークンが付与されると、それは買収、倒産、事業転換、所有権変更を経ても有効なままです。3年前に連携したスタートアップが、今はあなたの知らない企業の一部になっているかもしれません。

これからの道筋

アンケートや年次評価では解決できません。必要なのは、すべてのOAuthトークン、API接続、データフローの実際の挙動を、所有者が誰であろうとリアルタイムかつ継続的に可視化することです。

つまり、私たちは次のことを実践しなければなりません：

• ベンダーではなく、挙動とデータを監視する。 ベンダー関係を盲信するのはやめ、機密データの流れを監視しましょう。たとえば、信頼されたベンダーのものであっても、Tor出口ノードから午前3時に大量のSalesforceデータへアクセスするOAuthトークンは疑わしいのです。
• 無限の委託先を想定する。 サードパーティや4次委託という枠組みで考えず、無限の委託先が存在する前提で。セキュリティ態勢は、信頼チェーンに関わらずすべてのアクションを検証するゼロトラスト原則に基づくべきです。
• OAuth考古学を実施する。 すべての組織は、私が「OAuth考古学」と呼ぶ作業――統合の地層を掘り下げ、どんなトークンが存在し、どんな機密データにアクセスでき、まだ有効であるべきかを調査する――を行う必要があります。

業界へのアクションの呼びかけ

2025年のSalesLoft Drift情報漏洩が教えてくれたのは、最大のセキュリティリスクは、あなたが名前すら知らない企業が、信頼しているベンダーに買収され、あなたがその顧客になる前に作られたトークンを使っている場合もある、ということです。

唯一の解決策は、APIコール、データフロー、OAuthトークンのすべてを、何次委託であろうと継続的かつリアルタイムで監視することです。

ルールは変わりました。4次委託の時代が到来しています。私たちは、相互接続されたSaaSエコシステムの守り方を根本から見直す必要があります。

この記事はFoundry Expert Contributor Networkの一環として公開されています。
参加希望はこちら