セキュリティ脆弱性レポート:Salesloft Drift & Salesforce攻撃分析
2025年9月 | Salesloft Drift & Salesforce統合の脆弱性
1. 攻撃の概要
直ちに必要な対応
- OAuthトークンの確認: SalesforceおよびGoogle Workspaceで不要なOAuthトークンアプリ統合のための認証キー。広範な権限は危険です。を確認し、取り消してください。
- 統合の更新: Salesloft Driftの統合を直ちに無効化または更新してください。
- アカウントの監視: 不正アクセスやデータ流出機密情報が不正に取得されること。の兆候を確認してください。
攻撃の概要
主なポイント
- Salesloft DriftのOAuthトークンアプリ統合のための認証キー。広範な権限は危険です。が悪用され、SalesforceおよびGoogle Workspaceにアクセスされました。
- 攻撃者はSalesforceのオブジェクト(アカウント、連絡先、ケース、商談)からデータを抽出し、ラテラルムーブメントネットワーク内で他のシステムに移動する攻撃手法。を試みました。
- 影響を受けた企業には、Zscaler、Palo Alto Networks、PagerDuty、SpyCloud、Taniumが含まれます。
潜在的な影響
- 顧客連絡先情報の漏洩
- 営業およびサポートケースデータの露出
- 統合サービス(Slack、Pardotなど)への不正アクセス
2. インシデントダッシュボード
地域別インシデント報告
侵害されたデータの種類
インシデントの重大度
3. グローバル脅威マップ
Salesloft Drift攻撃に関連するセキュリティインシデントのリアルタイム可視化。
4. 攻撃タイムライン
初期発見
2025年8月1日 - GoogleおよびMandiantがSalesloft DriftのOAuthトークンを介した不正アクセスを特定。
調査
2025年8月5日 - 攻撃の範囲を確認:Salesforce、Google Workspace、その他の統合サービスが影響。
緩和
2025年8月10日 - Salesloft Driftの統合を無効化、OAuthトークンを取り消し。
継続的な監視
2025年8月20日 - さらなる不正活動の継続的な監視。
5. 技術的詳細
攻撃の仕組み
| 項目 | 詳細 |
|---|---|
| 攻撃ベクトル | OAuthトークンの悪用アプリ統合のための認証キー。広範な権限は危険です。 |
| 影響を受けたサービス | Salesforce、Google Workspace、Slack、Pardot |
| 抽出されたデータ | アカウント、連絡先、ケース、商談 |
| ラテラルムーブメントネットワーク内で他のシステムに移動する攻撃手法。 | 他の統合サービスへのアクセス試行 |
攻撃の流れ
攻撃者は盗まれたOAuthトークンを使用してSalesforceのデータにアクセスし、統合サービス間でラテラルムーブメントネットワーク内で他のシステムに移動する攻撃手法。を試みました。
例: APIコール:
GET /services/data/v56.0/sobjects/Account/
Headers: Authorization: Bearer [盗まれたOAuthトークン]推奨される対応
- Salesloft Driftに関連するすべてのOAuthトークンを取り消してください。
- Salesloft Driftの統合を当面無効にしてください。
- SalesforceおよびGoogle Workspaceのログを監視し、不正アクセスを確認してください。
- 影響を受けたすべてのアカウントの認証情報をローテーションしてください。
Salesforce設定
// 強化されたOAuth制御を有効化
セキュリティ設定:
OAuthスコープ:必要最小限に制限
セッション設定:「セッションレベルのセキュリティを有効化」をオンよくある質問
私の組織が影響を受けているか確認する方法は?
Salesforceの「セットアップ監査証跡」および「ログイン履歴」を確認し、Salesloft Driftまたは不明なIPからの不正アクセスをチェックしてください。
不正アクセスが見つかった場合、どうすればよいですか?
直ちに影響を受けたOAuthトークンを取り消し、パスワードを変更し、Salesforceサポートに連絡してください。
今後同様の攻撃を防ぐにはどうすればよいですか?
OAuthトークンに最小権限の原則を適用し、多要素認証を有効化し、統合を定期的に監査してください。
6. 防御戦略
アカウント活動の監視
不審なログインや活動がないか定期的にアカウントをチェックしてください。
パスワードの更新
強力で一意なパスワードを使用し、多要素認証を有効にしてください。
不審な活動の報告
異常なアカウントの挙動を直ちにITチームに報告してください。
統合の監査
不要なサードパーティ統合を確認し、無効にしてください。
ログの有効化
すべてのOAuthトークンの使用およびAPIコールの包括的なログを確保してください。
トークン権限の制限
各統合に必要な最小限の権限にOAuthトークンを制限してください。
APIエンドポイントの保護
すべてのAPIエンドポイントにレート制限と入力検証を実装してください。
定期的なセキュリティテスト
ペネトレーションテストおよびコードレビューを実施して脆弱性を特定してください。
安全なコーディングの実践
OWASPガイドラインおよびSalesforceのセキュリティベストプラクティスを遵守してください。
7. Salesloft公式セキュリティアップデート
2025年8月27日:Driftセキュリティインシデントに関する重要なお知らせ(米国東部時間午後3:30)
透明性を確保するための取り組みとして、Driftセキュリティインシデントに関する重要な最新情報をお伝えします。Salesforceより、予防措置として、Salesforce、Slack、PardotとのDrift統合が一時的に無効化されたとの通知を受けました。この決定は、Salesforceと共同でインシデントの徹底的な調査を行う間に行われました。この期間中、Salesforce、Slack、PardotはDriftと接続できません。これは当社の最優先事項であり、最大限の緊急性を持って対応しています。
これまでに共有した通り、Salesloftは一流のサイバーセキュリティ専門家であるMandiantおよびCoalitionを雇用し、調査および封じ込めと修復を支援しています。私たちの焦点は、システムとお客様のデータの完全性とセキュリティを確保することにあります。新しい情報が入手次第、引き続き更新を提供します。継続的な更新については、trust.salesloft.comを購読してください。
2025年8月27日:必要な対応 - Drift API統合
Driftセキュリティインシデントの継続的な調査の一環として、Salesloftは一流のサイバーセキュリティ専門家であるMandiantおよびCoalitionを雇用し、調査および封じ込めと修復を支援しています。私たちはシステムとお客様のデータの完全性を確保するためにあらゆる可能な措置を講じています。
すべてのDriftのお客様で、APIキー経由でサードパーティアプリケーションへの独自のDrift接続を管理している方は、既存のキーを積極的に取り消し、これらのアプリケーション用に新しいAPIキーを使用して再接続することを推奨します。これはAPIキーによるDrift統合にのみ関連します。OAuthアプリケーションはSalesloftが直接対応します。これらのアクションは、サードパーティプロバイダのアプリケーション内で直接実行する必要があります。現在接続されている統合のリストは、Drift管理者設定内で確認できます。
手順
- 設定 > 統合 > [ここに接続されているDrift統合が表示されます]
- 各サードパーティプロバイダのアプリケーション内で直接アクションを実行
- 準備ができたら、各接続されているDrift統合のAPIキーを更新
セキュリティがお客様にとって最優先事項であることを理解しており、それは私たちにとっても最優先事項です。価値あるパートナーおよびお客様とのオープンな対話を維持することを約束し、情報が入手次第、引き続き更新を提供します。
2025年8月26日:Drift/Salesforceセキュリティアップデート
SalesforceとのDrift統合に関する最近のセキュリティインシデントに関する最新情報は以下の通りです:
2025年8月8日から8月18日まで、脅威アクターがOAuth認証情報を使用して、お客様のSalesforceインスタンスからデータを流出させました。影響を受けたすべての顧客には通知が送信されました。初期調査結果によると、攻撃者の主な目的は、AWSアクセスキー、パスワード、Snowflake関連のアクセストークンなどの機密情報を標的にした認証情報の窃盗でした。このインシデントは、Drift-Salesforce統合を使用していないお客様には影響を与えませんでした。継続的な調査に基づき、このインシデントに関連する進行中の悪意のある活動の証拠は見られません。
Salesforceと協力して、Driftアプリケーションのすべてのアクティブなアクセスおよびリフレッシュトークンを積極的に取り消しました。その結果、管理者はSalesforce接続を再認証して統合を再有効化する必要があります。また、調査を支援し、適切な修復手順をすべて講じるために、第三者のデジタルフォレンジックおよびインシデント対応(DFIR)企業を雇用しました。Salesforceと協力して、攻撃者の各環境での行動に関する詳細な情報をすべての顧客に提供しています。
侵害の指標(IOCs)
以下の指標がこのインシデントに関連しています:
ユーザーエージェント文字列
- python-requests/2.32.4
- Salesforce-Multi-Org-Fetcher/1.0
- Python/3.11 aiohttp/3.12.15
IPアドレス
154.41.95.2
176.65.149.100
179.43.159.198
185.130.47.58
185.207.107.130
185.220.101.133
185.220.101.143
185.220.101.164
185.220.101.167
185.220.101.169
185.220.101.180
185.220.101.185
185.220.101.33
192.42.116.179
192.42.116.20
194.15.36.117
195.47.238.178
195.47.238.83
208.68.36.90
44.215.108.109
実行されたクエリの例
脅威アクターは、ケース、アカウント、ユーザー、商談を含むさまざまなSalesforceオブジェクトに関連する情報を取得するためにクエリを実行しました。以下に2つのサンプルクエリを示しますが、これは完全なリストではありません:
ケースオブジェクトの一般的なフィールドのクロール:
SELECT Id, Description, Subject, Comments FROM Case WHERE CreatedDate >= :x ORDER BY CreatedDate DESC NULLS FIRST LIMIT 2000
ケースオブジェクトのフィールドで既知のシークレットパターンをマイニング:
SELECT Id FROM Case WHERE SuppliedEmail LIKE :x LIMIT 1000
上記の通り、Salesforceと協力して、攻撃者の各環境での行動に関する詳細な情報をすべての顧客に提供しています。
2025年8月25日:Drift/Salesforceセキュリティアップデート
DriftとSalesforce間のインシデントに関する調査は継続中です。Salesforceと積極的に協力しており、情報が入手次第、更新を提供します。現在、進行中の悪意のある活動の証拠は見られません。ご質問は、カスタマーサポートポータル(help.salesloft.com)を通じてお送りいただき、適切に対応できるようにしてください。
2025年8月20日:Drift/Salesforceセキュリティ通知
本日、Driftアプリケーションでセキュリティ問題を検出しました。慎重を期して、DriftとSalesforce間の接続を積極的に取り消し、Drift管理者に対してSalesforce接続の再認証を求めています。
DriftでのSalesforce再認証の手順
- 設定 > 統合 > Salesforceに移動
- 「切断」をクリック
- 「アカウントを接続」をクリック
- Salesforceの認証情報でログインし、接続を承認
注:ページを更新する前に、アプリが処理を完了するまで1分ほどかかる場合があります。その後、接続が成功したことを確認できるはずです。
上記の参照された問題は、Salesforceと統合していないDriftのお客様には影響を与えません。調査を継続し、情報が入手次第、さらに詳細を提供します。このインシデントにより生じたご不便をお詫びし、ご協力に感謝します。
8. Salesloft Driftサプライチェーン攻撃:詳細分析
🔐 攻撃の概要:Salesloft Driftの侵害と影響
2025年8月8日から18日にかけて、Salesloftが提供するマーケティングアプリ「Drift」が不正アクセスを受け、アプリに保存・連携されていたOAuthトークンアプリ統合のための認証キー。広範な権限は危険です。が窃取されました。このトークンを悪用して、攻撃者はSalesforce環境に不正アクセスを行い、複数の企業の顧客データが流出しました。このサプライチェーン攻撃により、Salesloft Driftを利用していた700社以上の組織が影響を受け、Palo Alto Networks、Cloudflare、Zscaler、SpyCloud、PagerDuty、Taniumなどが含まれます。攻撃者は新興の攻撃グループ「UNC6395」としてGoogle Threat Intelligence Group(GTIG)により追跡されており、ShinyHunters(UNC6040)との関連も示唆されていますが、明確な証拠はありません。
主な目的は、AWSアクセスキー、Snowflakeトークン、パスワードなどの認証情報の窃取でした。一部のケースでは、Google WorkspaceのDrift Email統合を通じてメールデータも流出しました。攻撃者はPythonベースの自動化ツール(User-Agent: Python/3.11 aiohttp/3.12.15など)を使用し、Salesforceの「Account」「Contact」「Case」「Opportunity」オブジェクトから大量のデータを抽出し、痕跡を隠すためにクエリ履歴の削除などのアンチフォレンジック手法を採用しました。
🛡️ 影響を受けた企業と対応
影響を受けた企業(確認済み)
| 企業名 | 影響内容の概要 | 対応策 |
|---|---|---|
| Palo Alto Networks | Salesforce CRM内の営業アカウント情報、顧客連絡先、基本的なケースデータが流出。製品やサービスには影響なし。 | Drift統合を即時遮断。Unit 42が調査を実施し、影響はCRMに限定と確認。ログ監査と認証情報のローテーションを実施。詳細はUnit 42 Threat Briefで公開。 |
| Cloudflare | サポートケースの本文、件名、顧客連絡先情報が流出。ログ、APIキー、パスワードを含む104件のAPIキーを予防的にローテーション。 | Drift統合を無効化し、すべての第三者統合を切断。影響を受けた顧客に直接通知。内部調査を実施。詳細はCloudflare Blogで公開。 |
| Zscaler | 顧客連絡先、ライセンス情報、サポートケースの一部が流出。ファイル添付にはアクセスされなかった。 | Drift統合を遮断。APIトークンをローテーション。サポート対応時の認証プロセスを強化。詳細はSecurity Affairsで公開。 |
| SpyCloud | Salesforce CRM内の連絡先・営業情報への限定的なアクセスが確認。製品関連システムやダークネットデータにはアクセスなし。 | Drift統合を遮断。詳細な調査を継続し、影響範囲を特定中。ログ監査と認証情報の確認を実施。詳細はThe Hacker Newsで公開。 |
| PagerDuty | Salesforce統合経由で一部顧客データが流出。サポートケースや営業情報が含まれる可能性あり(詳細非公開)。 | 統合遮断と内部監査を実施。詳細はBleepingComputerで公開。 |
| Tanium | 顧客連絡先、営業履歴、ケース情報の一部が流出。フィッシングリスクへの注意喚起あり。 | 顧客への通知とフィッシング対策の強化。OAuthトークンの無効化とログ監査を実施。詳細はBleepingComputerで公開。 |
| Google Workspace(統合経由) | Drift Email統合を通じて一部のメールアカウントにアクセス。メール本文、返信履歴、CRM連携情報が流出。Google Workspace自体は侵害なし。 | 該当OAuthトークンを無効化。Drift Email統合を停止。詳細はGoogle Threat Intelligenceで公開。 |
顧客への通知と支援
影響を受けた企業は、機密性の高いデータが含まれていた可能性がある顧客に個別に連絡を実施し、顧客サポートチャネルを通じて懸念や支援要請に対応しています。Palo Alto NetworksのUnit 42は、技術的詳細や被害者向けの推奨事項をThreat Briefで公開しています。
🔍 攻撃の技術的詳細と手法
攻撃フェーズ
| フェーズ | 詳細内容 |
|---|---|
| 初期アクセス | Salesloft DriftのOAuthトークンを悪用し、Salesforce APIにアクセス。 |
| データ抽出 | Account、Contact、Case、Opportunityオブジェクトから大量のデータを自動抽出。 |
| 認証情報の探索 | 抽出したデータをスキャンし、AWSキー(例:AKIA)、Snowflakeトークン、パスワードなどの機密情報を探索。 |
| 痕跡の隠蔽 | クエリログの削除などのアンチフォレンジック手法を使用。 |
| 拡張アクセス | Google Workspace、Slack、Pardotなどの他クラウド環境への横展開を試みた形跡あり。 |
技術的手法
攻撃者はPythonベースの自動化ツール(User-Agent: Python/3.11 aiohttp/3.12.15など)を使用し、SOQLクエリを介してデータを体系的に抽出しました。一部のケースでは、Google WorkspaceのDrift Email統合を通じてメールデータが流出しました。Salesforceのイベントログにはデータ抽出の証拠が残っており、クエリジョブの削除にもかかわらず調査が可能です。SalesforceはAppExchangeからDriftアプリを一時的に削除し、すべてのトークンを無効化しました。
例: SOQLクエリ
SELECT Id, Description, Subject, Comments FROM Case WHERE CreatedDate >= :x ORDER BY CreatedDate DESC NULLS FIRST LIMIT 2000
SELECT Id FROM Case WHERE SuppliedEmail LIKE :x LIMIT 1000
🔒 SalesloftとSalesforceの対応
SalesloftはMandiantおよびCoalitionと連携し、デジタルフォレンジック調査を実施し、すべてのDrift関連OAuthトークンを無効化しました。SalesforceはSlackやPardotとのDrift統合を停止し、影響範囲の調査を継続中です。2025年8月20日にDriftアプリケーションのセキュリティ問題を検出し、DriftとSalesforce間の接続を積極的に取り消しました。管理者は以下の手順で再認証が必要です:
- 設定 > 統合 > Salesforceに移動
- 「切断」をクリック
- 「アカウントを接続」をクリック
- Salesforceの認証情報でログインし、接続を承認
このインシデントは、Drift-Salesforce統合を使用していない顧客には影響を与えません。Salesloftはtrust.salesloft.comで継続的な更新を提供しています。
📌 推奨される対策
- すべてのDrift統合の認証情報再発行:Salesforce、Google Workspace、Slack、PardotなどのAPIキーおよびOAuthトークンを無効化し、再発行してください。TruffleHogなどのツールを使用して、AWSアクセスキー(例:AKIA)やSnowflakeトークン(例:snowflakecomputing[.]com)をスキャンすることを推奨します。
- Salesforce接続の再認証とログ監査:管理者はSalesforce接続を再認証し、2025年8月8日から18日までのイベント監査ログを精査してください。UniqueQueryイベントや異常なデータエクスポートイベントを確認し、疑わしいIPアドレスやUser-Agent(例:Python/3.11 aiohttp/3.12.15)を特定します。
- Google Workspaceのトークン確認:Drift Email統合を使用している場合、関連するOAuthトークンを無効化し、メールアカウントのアクセスログを調査してください。
- アクセス制御の強化:接続アプリの権限を最小限に制限し、IPアドレス制限やセッションタイムアウト値を設定して侵害されたセッションの寿命を短縮します。
- 第三者統合のレビュー:Salesloft Driftと統合されているすべての第三者アプリ(Slack、Pardotなど)を調査し、認証活動やデータ抽出の兆候を確認してください。
Salesforceのサポートケースを開いて、攻撃者が使用した具体的なクエリを確認することも推奨されます。詳細な推奨事項はUnit 42 Threat Briefで公開されています。
🛡️ IOC(侵害指標)リスト
以下の侵害指標(IOCs)は、Salesloft、Unit 42、Google Threat Intelligence Groupにより提供された情報に基づいています。Tor出口ノードやVPSからのアクセスが多く、誤検知の可能性があるため、ログ内の他の異常な活動と組み合わせて確認してください。
ユーザーエージェント文字列
- python-requests/2.32.4
- Salesforce-Multi-Org-Fetcher/1.0
- Python/3.11 aiohttp/3.12.15
IPアドレス
154.41.95.2
176.65.149.100
179.43.159.198
185.130.47.58
185.207.107.130
185.220.101.133
185.220.101.143
185.220.101.164
185.220.101.167
185.220.101.169
185.220.101.180
185.220.101.185
185.220.101.33
192.42.116.179
192.42.116.20
194.15.36.117
195.47.238.178
195.47.238.83
208.68.36.90
44.215.108.109
SOQLクエリのパターン
SELECT Id, Description, Subject, Comments FROM Case WHERE CreatedDate >= :x ORDER BY CreatedDate DESC NULLS FIRST LIMIT 2000
SELECT Id FROM Case WHERE SuppliedEmail LIKE :x LIMIT 1000
認証活動
Drift接続アプリに関連する異常な認証イベント(例:予期しない時間帯や場所からのログイン)。特に2025年8月8日から18日までの期間に焦点を当ててください。
データ抽出の痕跡
攻撃者はクエリジョブを削除して痕跡を隠そうとしましたが、Salesforceのイベントログにはデータ抽出の証拠が残っています。UniqueQueryイベントや異常なデータエクスポートイベントを監査ログで確認してください。
📚 参考情報と一次ソース
- Salesloft Trust Portal:APIキー再発行手順、影響範囲、調査状況
- Google Threat Intelligence:Drift Email統合経由のメール侵害とUNC6395の活動
- Unit 42 Threat Brief:攻撃者の行動分析とSalesforceへの影響
- Security Affairs:Unit 42のコメントと攻撃詳細
- Cybersecurity News:詳細分析とSOQLクエリパターン
- The Hacker News:SpyCloudの調査状況
- BleepingComputer:PagerDutyとTaniumの対応
- Arctic Wolf:トークン無効化の詳細
- CyberScoop:UNC6395の活動概要
- SecurityWeek:Google Workspaceの影響
- Krebs on Security:Mandiantの調査詳細
- Dark Reading:ShinyHuntersとの関連分析
- Security Boulevard:Tor出口ノードの利用
- Salesforce Ben:SOQLクエリパターンの分析
- The Register:攻撃キャンペーンの概要
- Cybersecurity Dive:データ抽出の痕跡
- Breached.Company:攻撃キャンペーンの概要
📝 結論
2025年8月のSalesloft Drift OAuthトークン漏洩によるサプライチェーン攻撃は、Salesforceと統合していた企業を中心に広範な影響を及ぼしました。Palo Alto Networks、Cloudflare、Zscaler、SpyCloud、PagerDuty、Taniumを含む700社以上が影響を受けた可能性があります。攻撃者は認証情報を収集するために高度な手法を使用し、痕跡を隠そうとしましたが、ログ監査により検出が可能です。企業は即座にトークンの無効化、認証情報のローテーション、ログ監査を実施し、第三者統合のセキュリティを見直す必要があります。攻撃者「UNC6395」の起源や動機は不明ですが、Googleはこれを「広範かつ日和見的な攻撃」と評価しています。一部の報告では中国を拠点とする可能性が示唆されていますが、確定的な証拠はありません。SalesloftはMandiantと協力して調査を継続しており、さらなる情報はtrust.salesloft.comで公開される予定です。
9. セキュリティチェックリスト
チェックリストを完了してセキュリティ体制を強化してください。
コメント