セールスロフトのデータ侵害
大規模なサイバー攻撃により、SalesloftとDrift AIチャットエージェントの連携が侵害され、ハッカーがOAuthトークンとリフレッシュトークンを盗むことが可能になりました。UNC6395として追跡されている脅威アクターは、盗まれたトークンを悪用してSalesforceの顧客環境に侵入しました。セキュリティ専門家は、700以上の組織が影響を受ける可能性があると特定しています。
目次
侵害のタイムライン
調査の結果、悪意のある活動は2025年8月8日から8月18日まで行われていたことが明らかになりました。この期間中、攻撃者はDriftに関連付けられた侵害されたOAuthトークンを利用してSalesforceインスタンスに侵入しました。侵入後、大量の企業データをエクスポートし、以下のような機密性の高い認証情報を収集しようとしました。
- Amazon Web Services (AWS) アクセスキー
- パスワード
- スノーフレーク関連トークン
攻撃方法とテクニック
このキャンペーンを際立たせているのは、UNC6395の組織的な精密さです。彼らは一度きりの侵入ではなく、数百のSalesforceテナントに対して構造化された反復的な攻撃を仕掛けました。主な観察結果は以下の通りです。
規律ある実行- 資格情報を識別して抽出するためにクエリが体系的に実行されました。
運用上の認識– 攻撃者は、活動の痕跡を隠すためにクエリ ジョブを削除しました。
ターゲットの選択– 侵害を受けた組織の多くはテクノロジーおよびセキュリティプロバイダーであったため、これはサプライチェーンへの侵入の試みである可能性があることを示唆しています。
このグループは、ベンダーやサービス プロバイダーを侵害することで、顧客やパートナーのエコシステムへと下流に攻撃を拡大する態勢を整えました。
SalesloftとSalesforceからの回答
Salesloftは2025年8月20日にアドバイザリーを発行し、侵害を認め、DriftとSalesforce間のすべての接続を無効化したことを確認しました。Salesforceもこれに続き、直接影響を受けたのは「少数の顧客」のみであると述べました。両社は、このインシデントを受けて直ちに以下の対策を講じました。
- 無効なアクティブなアクセストークンとリフレッシュトークン
- AppExchangeからDriftを削除しました
- 攻撃を封じ込め、影響を評価するために協力した
Salesloft は、このインシデントは Salesforce 統合のない組織には影響しないことを強調しました。
より広範な脅威の状況
Salesforce環境は、金銭目的のグループにとってますます魅力的な標的となっています。UNC6040やUNC6240(ShinyHunters)などの他のクラスターは、SaaS環境を悪用することで知られており、UNC6240は初期アクセスキャンペーンにおいてScattered Spider(UNC3944)と提携しています。
現時点では、UNC6395とこれらのグループを結びつける証拠はなく、UNC6395は新たな、かつ独自の脅威クラスターとみなされています。しかしながら、その活動の規模、集中度、そして洗練度は、高リスクの攻撃グループと同等の地位を占めています。
緩和策と今後の取り組み
Salesloftは、調査と修復作業を支援するため、サードパーティのセキュリティベンダーと提携しています。同社は管理者に対し、Salesforce接続の再認証を行い、連携を回復し、追加のセキュリティ対策を講じるよう強く求めています。
主な推奨事項は次のとおりです。
- 既存の API キーの取り消しとローテーション
- 新しいキーでDrift統合を再接続する
- 疑わしいクエリや潜在的なデータ漏洩のログを確認する
- 影響を判断するためにさらに詳細な調査を実施する
APIキーを介してDrift接続を管理している組織では、積極的なキーローテーションを強くお勧めします。ただし、OAuth統合については、Salesloftが既に直接対応しています。
最終的な結論
このキャンペーンは、SaaSエコシステムにおけるサードパーティ統合のリスクの高まりを浮き彫りにしています。UNC6395は、盗まれたOAuthトークンを悪用することで、標的型でステルス性に優れ、サプライチェーンを標的とした攻撃を実行する能力を示しました。この事件は、クラウドベースのプラットフォームが強力である一方で、デジタルサプライチェーン全体の信頼関係を悪用しようとする脅威アクターにとって依然として主要な標的であり続けていることを改めて認識させるものです。
