脅威ブリーフ：Salesforce Salesloft Drift連携を利用したSalesforceインスタンスの侵害

エグゼクティブサマリー

Unit 42は、特定の脅威アクターがSalesloft Drift連携を悪用して顧客のSalesforceインスタンスを侵害するキャンペーンと一致する活動を観測しました。このブリーフでは、我々の観測結果と、影響を受ける可能性のある組織へのガイダンスを提供します。

Salesloftからの最近の通知で詳述されているように、2025年8月8日から18日にかけて、脅威アクターは侵害されたOAuth認証情報利用し、影響を受けた顧客のSalesforce環境からデータを窃取しました。

我々の観測によると、脅威アクターは、アカウント、連絡先、ケース、商談の各レコードを含む、様々なSalesforceオブジェクトから機密データを大量に窃取しました。窃取後、アクターはさらなる攻撃を容易にするか、アクセスを拡大する目的で、取得したデータから認証情報を積極的にスキャンしていたようです。脅威アクターが、フォレンジック対策として、実行したジョブの証拠を隠すためにクエリを削除したことも確認されています。

Salesloftは、影響を受けたすべての顧客に通知済みであり、システムの保護、インシデントの封じ込めと緩和のために、Driftアプリケーションのすべてのアクティブなアクセスおよびリフレッシュトークンを事前に失効させるなど、即座に対応したことを確認しています。これにより、影響を受けた管理者は再認証が必要となりました。

パロアルトネットワークスは、組織がSalesforceとSalesloftの更新を引き続き監視し、以下に共有される推奨事項に従うことを推奨します。

Unit 42インシデント対応チームは、侵害への対応や、リスクを低減するための事前の評価を支援することも可能です。

組織向けの推奨事項

SalesforceとSalesloft Driftを連携させている組織は、このインシデントに緊急を要するものとして対応すべきです。Salesloftがプラットフォームを保護するために講じた事前の措置（トークンの失効など）に加えて、潜在的な影響を評価し、さらなるリスクを軽減するためには、以下の推奨事項が不可欠です。

即時の調査とログレビュー:

• Drift API連携: すべてのDrift連携を徹底的にレビューし、サードパーティシステム内のすべての認証アクティビティを調査して、不審な接続、認証情報の収集、データ窃取の兆候がないか確認してください。
• Salesforceログ: 2025年8月8日から現在までのSalesforceのログイン履歴、監査証跡、APIアクセスログを徹底的にレビューしてください。特に、Salesforce Event Monitoringログが有効な場合は、Drift接続ユーザーに関連する異常なアクティビティを調査し、Drift Connected Appからの認証アクティビティを確認してください。不審なログイン試行、異常なデータアクセスパターン、およびハンティングガイダンスセクションで言及されているPython/3.11 aiohttp/3.12.15ユーザーエージェント文字列や既知の脅威アクターのIPアドレスからのアクティビティなどの指標を探してください。また、実行されたSalesforce Object Query Language（SOQL）クエリを記録するUniqueQueryイベントをレビューして、攻撃者がどのSalesforceオブジェクト（例：アカウント、連絡先、商談、ケースなど）およびそれらのオブジェクト内のどのフィールドを照会したかを特定します。必要に応じてSalesforceサポートケースを開き、脅威アクターが使用した特定のクエリを取得することを検討してください。
• IDプロバイダー（IdP）ログ: IDプロバイダーのログをレビューし、インシデント期間中にSalesforceや他の統合アプリケーションへの異常な認証試行や成功したログインがないか確認してください。
• ネットワークログ: ネットワークフローログとプロキシログを分析し、不審なIPからのSalesforceへの接続や異常なデータ転送量がないか確認してください。

漏洩した認証情報の確認とローテーション:

• 自動化ツール: TrufflehogやGitLeaksなどの自動化ツールを活用して、コードリポジトリ、設定ファイル、または窃取された可能性のあるデータ内にハードコードされた認証情報やシークレットを効率的にスキャンします。
• データ精査: データ窃取が確認または疑われる場合は、機密性の高い認証情報が含まれていないかデータをレビューします。これには、AWSアクセスキーID（例：AKIA）、Snowflake認証情報（例：Snowflakeまたはsnowflakecomputing.com）、password、secret、keyなどの一般的なキーワード、および組織固有のログインURL（例：VPNやSSOのログインページ）に関連する文字列などのパターンを検索することが含まれます。
• 即時ローテーション: 窃取されたデータ内で特定されたすべての認証情報を速やかにローテーションします。これには、Salesforce APIキー、接続アプリの認証情報、および侵害されたデータ内で見つかったその他のシステム認証情報が含まれますが、これらに限定されません。

ハンティングガイダンス

Salesloft Drift連携インシデントに関連する潜在的な侵害を懸念する組織は、Salesforce環境内で直ちに積極的な脅威ハンティング活動を開始すべきです。（出発点として、SalesforceはSalesforceセキュリティインシデントの調査に関するリソースをいくつか提供しています。）重要な第一歩は、脅威アクターに関連する特定の侵害の痕跡（IoC）について、Salesforceのログインおよびアクティビティログを徹底的にレビューすることです。

防御側は、既知の脅威アクターのIPアドレスを含む、不審なIPアドレスからのログインを探すべきです（情報とアドバイスについては、本レポートの侵害の痕跡セクションを参照してください）。

特に注目すべきは、これらのログインイベントに関連するユーザーエージェント文字列「Python/3.11 aiohttp/3.12.15」の存在です。この特定の文字列は、本質的に悪意のあるものではない有効なユーザーエージェントですが、このキャンペーンで観測された自動化された大量のデータ窃取を示唆しています。

この文字列の存在が重要なのは、脅威アクターがaiohttpのような非同期PythonライブラリをSalesforceのBulk APIと組み合わせて使用し、高速で高スループットのデータ窃取を実行できるためです。この組み合わせにより、アカウント、連絡先、ケース、商談などのSalesforceオブジェクトから大量のデータを効率的に抽出し、標的システム上での滞在時間を最小限に抑えることができます。

結論

パロアルトネットワークスは、認証情報をローテーションし、Drift連携の認証アクティビティを検証するために上記のガイダンスに従うことを強く推奨します。警戒と検証が鍵となります。

組織は、このデータ窃取イベントやその他のイベントに起因するソーシャルエンジニアリングの試みに警戒すべきです。

ベストプラクティスは次のとおりです:

• 不審な通信に懐疑的であること: チームには、信頼できる送信元から送られてきたように見えても、不審な、または予期しないメール、電話、メッセージを注意深く精査するように助言してください。
• リクエストの検証: 機密データや認証情報のリクエストは、何らかの措置を講じる前に、必ず別の公式な通信チャネルを通じて検証してください。例えば、同僚から不審なメールを受け取った場合は、直接電話してリクエストが正当なものであることを確認してください。情報やファイルの交換は、メールではなく、必ずカスタマーサポートポータルを通じて行ってください。
• ゼロトラストの原則を導入する: 条件付きアクセスポリシーと最小権限の原則を用いてゼロトラストの体制を徹底することで、たとえ攻撃者が従業員を騙すことに成功したとしても、ネットワーク内での横方向の移動能力を大幅に制限することができます。

ソーシャルエンジニアリングとその緩和策に関する詳細については、最新の2025年版 Unit 42 グローバルインシデントレスポンスレポート：ソーシャルエンジニアリング編をご覧ください。

パロアルトネットワークスとUnit 42は、引き続き状況を監視し、新たな情報が入手可能になり次第、この脅威ブリーフを更新します。

Salesforceは、顧客への更新情報とリソースを提供する予定です。

侵害された可能性がある、または緊急の問題がある場合は、Unit 42インシデント対応チームにご連絡いただくか、以下の番号にお電話ください。

• 日本: +81.50.1790.0200
• 北米: フリーダイヤル: +1 (866) 486-4842 (866.4.UNIT42)
• 英国: +44.20.3743.3660
• ヨーロッパおよび中東: +31.20.299.3130
• アジア: +65.6983.8730
• オーストラリア: +61.2.4062.7950
• インド: 00080005045107

侵害の痕跡（IoC）

Salesloftは、ハンティングに利用できるいくつかのIoCを公開しました。彼らの通知に記載されているIPアドレスの多くはTorの出口ノードであり、Tor接続を許可している組織にとっては誤検知率が高くなる可能性があることに注意してください。