Salesforce、ハッキング被害を受けSalesloftとの連携を再開(Driftを除く)
Salesforce は、アプリケーションがハッキング キャンペーンの標的になった後、Drift 以外の Salesloft テクノロジーとの統合を再度有効にしました。
Salesforceは8月28日、「最近のセキュリティインシデント」に対応してSalesloftのDriftアプリ間の接続を無効にしたと発表した。これは、Salesloft Driftに関連する侵害されたOAuthトークンを通じてハッカーがSalesforceインスタンスを標的としたデータ盗難攻撃を指している。
Salesforce は、9 月 7 日に投稿された最新のアップデートで、「Drift アプリを除く」Salesloft テクノロジーとの統合を再度有効にしたと述べています。
アップデートでは、「セキュリティインシデントへの継続的な対応の一環として、Driftは追って通知があるまで無効化されたままとなります。この決定は、Salesloftが実施したセキュリティ対策と修復手順に基づくものであり、Mandiantによって独立して検証されています。」と説明されています。
セールスロフトは9月7日の投稿で、サイバー防衛専門企業のマンディアントが実施した調査では「事件は封じ込められた」ことが示唆されていると述べた。
Salesloftのハック解説
このハッキング事件では、サードパーティ製アプリケーションである Salesloft Drift を通じて Salesforce の顧客が標的にされました。
Google Threat Intelligence Group(GTIG)によると、大規模なデータ窃盗キャンペーンは8月8日から始まり、少なくとも8月18日まで続いた。このキャンペーンは「UNC6395」として追跡されている攻撃者によって実行された。これは、最近のソーシャルエンジニアリング攻撃を複数回行ったとされる「ShinyHunters」グループとは異なる名称である。
この場合、ハッカーは、Salesloft Drift に関連付けられた侵害された OAuth トークンを通じて Salesforce インスタンスを標的にしました。
Salesloft は当初、Salesforce と統合していない顧客はキャンペーンの影響を受けないと示唆していました。
しかし、GTIG は、Drift のハッキングの範囲がこれまで考えられていたよりも深刻だったことを明らかにしました。新たな情報により、侵害の範囲は Salesforce と Salesloft Drift の統合に限定されず、「Drift Email」統合用の OAuth トークンも侵害されたことが明らかになりました。
Salesforce は、Drift アプリを含む Salesforce と Salesloft テクノロジー間のすべての統合を無効にし、GTIG はすべての Salesloft Drift 顧客に対し、Drift プラットフォームに保存されている、または接続されている「すべての」認証トークンを侵害の可能性があるものとして扱うようアドバイスしました。
9月2日に投稿されたアップデートで、Salesloftはセキュリティ強化のためDriftを「一時的に」削除すると発表した。
Salesforceは9月7日、Driftアプリとは別にSalesloftテクノロジーとの統合を再度有効にしたと発表し、Driftは「追って通知があるまで」無効のままであると説明した。
Salesloft は、Drift プラットフォームとそのテクノロジー統合の侵害を調査するために Mandiant を採用しました。
9月7日、SalesloftはMandiantの調査結果を発表するインシデントに関する最新情報を投稿しました。投稿には次のように記されています。「2025年3月から6月にかけて、脅威アクターはSalesloftのGitHubアカウントにアクセスしました。このアクセスにより、脅威アクターは複数のリポジトリからコンテンツをダウンロードし、ゲストユーザーを追加し、ワークフローを確立することができました。」
「調査では、SalesloftおよびDriftアプリケーション環境で2025年3月から2025年6月の間に偵察活動が行われていたことが判明しました。
「分析では、Salesloft アプリケーション環境に関連する限定的な偵察以外の証拠は見つかりませんでした。
「その後、脅威の攻撃者はDriftのAWS環境にアクセスし、Driftの顧客のテクノロジー統合用のOAuthトークンを取得しました。
「脅威アクターは盗んだOAuthトークンを使用して、Drift統合を介してデータにアクセスしました。」
Salesloft 社は、包括的な対応の一環として、Drift および Salesloft のアプリケーション環境で、Mandiant によって検証された封じ込めおよび根絶活動を実施したと述べています。
これには以下が含まれますが、これらに限定されません。
- Drift のインフラストラクチャ、アプリケーション、コードを分離して封じ込めます。
- Drift アプリケーションをオフラインにします。
- 影響を受ける資格情報をローテーションしています。
- Salesloft 環境での資格情報のローテーション。
- 環境の脅威を積極的に調査し、「追加の侵害の兆候」(IOC) は見つからなかったと記録します。
- 攻撃中に脅威の攻撃者が使用する既知の方法に対して、Salesloft 環境を迅速に強化します。
- Salesloft のインフラストラクチャとテクノロジー全体にわたる Mandiant Intelligence に基づく脅威ハンティング (IOC 分析、脅威アクターのアクティビティに基づくリスクのある認証情報に関連するイベントの分析、脅威アクターが Salesloft のセキュリティ制御を回避することを可能にするアクティビティに関連するイベントの分析など)。
Salesloftによると、MandiantはSalesloftとDriftのアプリケーションおよびインフラストラクチャ環境間の技術的なセグメンテーションを検証したという。
「Mandiantの調査結果に基づき、インシデントは封じ込められたことが確認されました」とセールスロフト氏は述べた。「Mandiantの業務の焦点は、現在、フォレンジック品質保証レビューに移行しています。」
最後に
Salesforce は以前、今回の問題は Salesforce コアプラットフォーム内の脆弱性に起因するものではないと強調していました。
FBI、「ShinyHunters」によるデータ窃盗でSalesforceインスタンスに警告
連邦捜査局 (FBI) は最近、 UNC6040 および UNC6395 として識別される 2 つの脅威グループが企業の Salesforce 環境に侵入してデータを盗み、被害者を脅迫していると警告する FLASH アラートを発行しました。
SF Benからのお知らせ:Salesforce組織内の接続アプリが侵害される可能性は依然として残っています。Salesforce Benでは、すべての管理者と組織所有者に対し、組織で現在使用されている接続アプリの監査を優先的に実施することを強く推奨します。監査には、すべての接続アプリの出所の特定、未使用または不明なアプリの削除、残りのアプリへのアクセス権限の設定、そしてユーザーが承認なしに接続アプリを追加できないようにすることが含まれます。対策として、こちらの記事を公開しました。
これまでにわかっている攻撃者に関する情報
UNC6040は、6月にGoogleの脅威インテリジェンスグループ(GTIG)によって初めて特定され、詳細なブログ投稿で、脅威アクターが2024年後半からSalesforceユーザーに対してソーシャルエンジニアリング攻撃とフィッシング攻撃を行っていたと企業に警告した。
攻撃者はITサポート担当者を装い、従業員を「My Ticket Portal」に偽装した悪意のあるデータローダーOAuthアプリに誘導します。接続に成功すると、攻撃グループはSalesforceデータを大量に窃取し、恐喝に利用します。
BleepingComputer の取材に対し、ShinyHunters は、顧客データの大部分が保存されているアカウントと連絡先のデータベース テーブルを標的にしたと主張しています。
UNC6040が侵入を実行し、Salesforceのデータを盗んだことは分かっていますが、恐喝の要求は著名なShinyHuntersグループに関連していました。ShinyHuntersとUNC6040が同一の攻撃者または協力者なのか、それともハッカーが脅迫の重みを高めるためにShinyHuntersの名前を借りただけなのかはまだ明らかではありません。
UNC6395は2025年8月に出現し、ハッカーはSalesloftのDrift OAuthトークンとリフレッシュトークンを侵害しました。攻撃者は盗んだトークンを入手すると、それらを使用して通常の認証手順を回避し、Salesforceインスタンスに直接ログインすることができました。
攻撃者の標的はサポートケースデータであり、これらのデータには認証情報、AWSキー、Snowflakeトークンといった機密情報が含まれていることがよくあります。このレベルのアクセス権限があれば、攻撃者は他のクラウド環境にも侵入し、Salesforce自体を超えて侵害の範囲を拡大する可能性があります。
これに対応して、Salesloft と Salesforce は協力して、侵害されたすべての Drift トークンを取り消し、顧客に再認証を求めました。
しかし、その時点では、Cloudflare、Zscaler、Palo Alto Networks、Proofpoint、Rubrik、CyberArkなど、多くの有名企業が既に影響を受けていました。攻撃者はDrift Emailトークンを悪用し、少数のGoogle Workspaceアカウントにもアクセスしました。
UNC6040とUNC6395が侵入を実行し、Salesforceのデータを盗んだことは分かっていますが、恐喝の要求は著名なShinyHuntersグループに関連していました。ShinyHuntersとUNC6040が同一の攻撃者または協力者なのか、それともハッカーが脅迫の重みを高めるためにShinyHuntersの名前を借りただけなのかはまだ明らかではありません。
ハッカーがTelegramで「消息を絶つ」
驚くべき展開として、BleepingComputer によると、このキャンペーンの背後にいる脅威アクターらは、Telegram 上での活動に関する投稿を停止し、「活動を休止する」と発表したという。
このメッセージは先週木曜日、サイバー犯罪活動の拠点として有名なBreachForumsに関連するドメインに現れました。理由は完全には明らかではありませんが、法執行機関の監視が強まる中、目立たないようにするための試みである可能性があります。
ハッカーらは最後の投稿で、FBIのE-Check身元調査システムやGoogleの法執行要請システムにアクセスしたなど、大胆な主張を展開した。
スクリーンショットが証拠として共有されたが、FBIもGoogleもその主張を認めていない。
この「退場」が本物なのか、それとも単なるブランド名の変更なのかはまだ分からない。歴史的に見て、ShinyHunters、Lapsus$、Scattered Spiderといったグループは新しい名前で再登場しており、彼らの活動がこれで最後になるわけではない可能性が高い。
最後に
この問題はSalesforceコアプラットフォームの脆弱性に起因するものではないことを強調しておきます。データが侵害されたとは思わない場合でも、今すぐ確認し、接続アプリを監査することをお勧めします。
ジャガー・ランドローバーの生産がさらに1週間停止:JLRはハッキングで「一部のデータ」が影響を受けたことを認める
ジャガー・ランドローバー(JLR)は、最近のサイバー攻撃で「一部のデータ」が影響を受けたとみており、9月24日まで生産を停止すると発表した。
Salesforce Ben は9 月 4 日、 Salesforce の顧客に混乱が広がる中、英国の自動車メーカーがサイバー攻撃によって深刻な影響を受けたと発表したと報じました。
JLRはシステムの接続を切断したため、小売および製造業務に影響が出たと発表しました。同社はSalesforceの名前は公表していませんが、最近のSalesforceを標的としたソーシャルエンジニアリング事件の背後にいるとみられるShinyHuntersが犯行声明を出しました。
JLRは以前、短い声明の中で「顧客データが盗まれたという証拠はない」と述べていたが、小売および生産活動は「深刻な混乱」に見舞われていた。
JLRは9月10日にオンラインで公開した最新情報で、現在「一部のデータが影響を受けている」と考えていることを明らかにした。
9月16日の朝にセールスフォース・ベンに送った声明の中で、JLRは「生産停止」は9月24日まで続くと述べた。
ジャガー・ランドローバーのデータ盗難:何が起こったのか?
ジャガー・ランド・ローバーは9月10日に投稿した最新の声明で、「サイバーインシデントを認識して以来、当社はサードパーティのサイバーセキュリティ専門家と協力し、世界中のアプリケーションを管理された安全な方法で再起動するために24時間体制で取り組んできました」と述べた。
継続中の調査の結果、一部のデータが影響を受けていると判断し、関係当局に通知しています。フォレンジック調査は引き続き迅速に進めており、影響を受けたデータを発見した場合は、必要に応じてご連絡いたします。
「この事件により引き続き混乱が生じていることを深くお詫び申し上げます。捜査の進捗に応じて引き続き最新情報をお知らせいたします。」
今月初めの当社の最初の投稿では、JLR が侵害の発生中にそれを検知し、同社がインシデントを封じ込めるために英国のマージーサイド/ヘイルウッドとソリハルの工場全体で IT システムと生産ラインを積極的に停止したことを報告しました。
従業員は電子メールや社内通信を通じて出勤しないように指示されていた。
BBCは9月12日の記事で、サイバー攻撃によりジャマイカ鉄道は世界中のコンピューターシステムと生産ラインを停止せざるを得なくなり、ソリハル、ヘイルウッド、ウルヴァーハンプトンの工場は「少なくとも水曜日(9月16日)までは稼働停止が続く見込み」だと報じた。
JLRの広報担当者は本日、Salesforce Benに次のように語った。「本日、同僚、サプライヤー、パートナーに対し、現在の生産停止を2025年9月24日水曜日まで延長することを通知しました。」
サイバーインシデントに関するフォレンジック調査を継続する中で、また、グローバルオペレーションの再開に向けた様々な段階を検討していることから、この決定に至りました。再開には時間がかかります。このインシデントによる継続的な混乱を深くお詫び申し上げます。調査の進捗状況につきましては、引き続きお知らせいたします。
JLRハッキングの背後にいるのは誰ですか?
報道によると、Scattered Spider、Lapsus$、ShinyHunters、およびそれらのハイブリッド名である「Scattered LAPSUS$ Hunters」という別名を持つグループが、JLRへのサイバー攻撃の犯行声明を出している。
ShinyHuntersグループは、6月にGoogleの脅威研究者によってUNC6240という名称で特定されました。彼らは、最近のSalesforceへの一連の攻撃に関与していると考えられています。
フィナンシャル・タイムズによると、ハッカーらはテレグラムにスクリーンショットを投稿したが、そこには管理ログや自動車充電システムに関するトラブルシューティング手順などの文書を含むJLRの内部ITシステムデータが含まれているという。
ハッキングキャンペーンをより広い視野で見ると、状況は解決に近づいていないように見えます。FBIは最近、2つの脅威グループが企業のSalesforce環境に侵入し、データを盗み出し、被害者から金銭を脅迫していると警告するFLASHアラートを発令しました。
Salesforce は、脆弱性は自社のプラットフォームから生じるものではないと一貫して強調してきました。 最後に
Salesforce、CrowdStrikeと提携しエージェントとプラットフォームのセキュリティを強化
バレンシアガとグッチが「Salesforceハッキンググループ」の標的に – 15億件のレコードが盗まれたと発表
Salesforceは8月28日、「最近のセキュリティインシデント」に対応してSalesloftのDriftアプリ間の接続を無効にしたと発表した。これは、Salesloft Driftに関連する侵害されたOAuthトークンを通じてハッカーがSalesforceインスタンスを標的としたデータ盗難攻撃を指している。
同日遅くのアップデートで、SalesforceはSalesloftのテクノロジーとのすべての連携を無効化したと発表しました。これは、組織がSalesloftのアプリ経由でSalesforceに接続できなくなることを意味しており、「追って通知があるまで」ということになります。
その後、Salesforceは9月7日に投稿したアップデートで、Salesloftのテクノロジーとの連携を「Driftアプリを除く」形で再度有効化したと発表しました。Salesloftは同日、サイバー防御専門企業のMandiantが実施した調査の結果、「インシデントは封じ込められた」と発表しました。