Salesforce AIの脆弱性によりCRMデータが漏洩する可能性

SalesforceのAgentforceプラットフォームに新たに公開された重大な脆弱性により、間接的なプロンプトインジェクションを通じてAIエージェントが機密CRMデータを漏洩するよう騙される可能性があります。

このバグ「ForcedLeak」を特定したNoma Securityの研究者は、木曜日に公開予定のブログ記事をCSOに共有し、攻撃者が日常的な顧客フォームに悪意のある指示を挿入することで悪用できると述べました。

Salesforceは開示後にこの問題にパッチを適用しましたが、Nomaの研究者は影響が単なる1つのバグをはるかに超えるものだと考えています。

無害なフォームから大規模なデータ窃取へ

Nomaが明らかにした攻撃経路は、一見単純なものでした。マーケティングキャンペーンでよく使われるSalesforceのWeb-to-Leadフォーム内に悪意のあるテキストを仕込むことで、提出内容を確認する役割を持つAIエージェント（Agentforce）が、本来実行するはずのない指示を実行するよう誘導できることが分かりました。説明欄には42,000文字まで入力できるため、無害なビジネスリクエストに偽装した多段階のペイロードを隠すのに十分なスペースがありました。

従業員がデータにアクセスし、Agentforceに処理を依頼すると、システムは正規のリクエストと攻撃者の隠されたスクリプトの両方を忠実に実行します。さらに悪いことに、Salesforceのコンテンツセキュリティポリシーには、既に期限切れとなったドメインがホワイトリストに残っていました。研究者はわずか5ドルでそのドメインを再登録し、信頼できそうに見えるデータ流出チャネルを作成することに成功し、小さな見落としが大きなセキュリティホールへと変わりました。

「間接的なプロンプトインジェクションは、基本的にはクロスサイトスクリプティングと同じですが、データベースを騙す代わりにインラインAIを騙すのです」とApollo Information SystemsのCISO、Andy Bennet氏は述べています。「これはスクリプト攻撃とソーシャルエンジニアリングの混合のようなもので、その革新性は印象的で、影響は潜在的に甚大です。」

SalesforceはこのCVE申請中の脆弱性を2025年9月8日に修正し、Agentforceに対して「信頼できるURLの許可リスト」を強制しました。同社はNomaに直接の謝辞は示しませんでしたが、関連する説明を含めています。「Agentforceを支える基盤サービスは、信頼できるURL許可リストを強制し、悪意のあるリンクがプロンプトインジェクションを通じて呼び出されたり生成されたりしないようにします」と述べています。

SalesforceはNomaの開示に関するCSOからのコメント要請にすぐには応じませんでした。

パッチだけでなくガードレールも必要

Salesforceは迅速にパッチを適用しましたが、専門家はAIエージェントが本質的により広範な攻撃対象領域を持つことに同意しています。これらのシステムは記憶、意思決定、ツールの実行を組み合わせているため、侵害が急速に広がり、Bennet氏の言葉を借りれば「機械の速度で」進行する可能性があります。

「利用しているAIエージェントの周囲のシステム、つまりAPI、フォーム、ミドルウェアを保護することが推奨されます。そうすることでプロンプトインジェクションの悪用が難しくなり、成功しても被害が軽減されます」とBlack Duckのシニアサイバーセキュリティソリューションアーキテクト、Chrissa Constantine氏は述べています。彼女は、真の予防にはパッチ適用だけでなく、「設定の維持や、エージェント設計、ソフトウェアサプライチェーン、Webアプリケーション、APIテストにガードレールを設けること」が必要だと強調しました。

Nomaの研究者も同様の呼びかけを行い、組織がAIエージェントを本番システムのように扱い、すべてのエージェントを棚卸しし、外部への接続を検証し、モデルに届く前に入力をサニタイズし、機密データへのアクセスやインターネットへの送信をすべて監視するよう促しています。

Oasis Securityのリサーチ責任者Elad Luz氏は、「エージェントがデータを見る前に外部入力をサニタイズしましょう」と提案しています。「問い合わせフォームなどの自由記述テキストは信頼できない入力として扱い、入力仲介レイヤーを使って想定されるフィールドのみを抽出し、指示やリンク、マークアップを除去・無効化し、モデルがユーザーの内容をコマンドとして解釈しないようにする（プロンプトインジェクション耐性）」と述べています。