Googleが緊急警告!Salesloft Drift経由で大規模データ窃取が発生
2025年8月28日、Google Threat Intelligence Group(GTIG)から衝撃的な発表がありました。セールス支援ツールとして広く利用されているSalesloft DriftとSalesforceの連携機能を悪用し、攻撃者グループUNC6395が大規模なデータ窃取を実行していたのです。
この攻撃の恐ろしい点は、単なるデータ流出にとどまらず、盗まれた情報を足がかりにした二次攻撃の可能性が高いことです。フォレンジック調査の現場で数多くの企業のインシデント対応を行ってきた私の経験から言えば、この種の攻撃は「氷山の一角」である可能性が極めて高いのが現実です。
攻撃の全貌:8月8日〜18日の恐怖の10日間
攻撃者UNC6395は、非常に計画的かつ巧妙な手口を使いました。彼らが狙ったのは、DriftとSalesforceを連携させるために使用されるOAuthトークンです。
具体的な攻撃手順は以下の通りです:
- OAuth トークンの不正取得:Drift環境に保存されていた第三者連携の認可トークンを横取り
- Salesforce への侵入:盗んだトークンでSalesforceにAPI/SOQLクエリを実行
- データ量の事前調査:まずレコード件数を把握し、効率的な窃取計画を立案
- 大量データの抽出:Account、Opportunity、User、Case等の詳細情報を系統的に抽出
- 痕跡隠滅の試み:クエリジョブを削除し、攻撃の痕跡を減らそうと工作
特に注目すべきは、攻撃者が単純にデータを盗むだけでなく、その中からAWSアクセスキー(AKIA)、Snowflakeトークン、パスワードなどの秘匿情報を探索していた点です。これは明らかに二次攻撃を想定した行動です。
被害拡大:Drift Email連携も標的に
当初はSalesforce連携のみが対象とされていましたが、8月28日の更新で事態はさらに深刻化しました。攻撃者はDrift Email連携のOAuthトークンも悪用し、Google Workspaceのメールアカウントへの不正アクセスも実行していたのです。
これにより、Driftに保存・接続されたすべてのトークンが潜在的に危険な状態となりました。現在調査中の企業の中には、「うちはSalesforceしか使ってないから大丈夫」と思っていた企業も多数含まれています。しかし実際には、メール、クラウドストレージ、その他のSaaSツールへの認証情報も同時に危険にさらされている可能性があります。
実際の被害例:フォレンジック調査現場からの報告
私がこれまで対応してきた類似の事案では、以下のような被害が確認されています:
ケース1:中小IT企業(従業員約50名)
営業部門がSalesforceに顧客の技術仕様書を添付ファイルとして保存していたところ、その中に含まれていたAPIキーが悪用され、顧客のクラウド環境への不正アクセスが発生。結果的に顧客企業との契約解除となり、約3000万円の損失が発生しました。
ケース2:製造業(従業員約200名)
Salesforceのカスタム項目に「参考パスワード」として社内システムの認証情報を記録していた営業担当者の不注意により、攻撃者が社内ネットワークへの侵入を許可。製造ラインの制御システムまで到達され、1週間の操業停止を余儀なくされました。
二次攻撃のリスク:本当の脅威はこれから
今回の攻撃で最も懸念されるのは、窃取されたデータを使った二次攻撃です。営業データには以下のような機密情報が含まれている可能性があります:
- AWSアクセスキー(AKIA):クラウドインフラへの不正アクセス
- Snowflakeトークン:データウェアハウスへの侵入
- パスワード断片:総当たり攻撃の材料
- 内部URL:非公開システムへの侵入経路
- 顧客情報:標的型攻撃の情報収集源
実際、攻撃者は「password」「secret」「key」といったキーワードで系統的な探索を行っており、これらの情報を使った攻撃が今後数カ月にわたって続く可能性があります。
緊急対応策:今すぐ実施すべき7つのステップ
Googleは現在、Driftを使用しているすべての組織に対し、プラットフォームに保存されているすべての認証トークンを「侵害されたもの」として扱うよう強く求めています。以下の対応を直ちに実施してください:
ステップ1:全認証トークンの緊急失効
- Driftに接続されているすべてのサービスの認証トークンを失効
- Salesforce、Google Workspace、その他連携サービスのAPIキーをすべて再発行
- 社内システムで使用している認証情報の棚卸しと変更
ステップ2:アクセスログの徹底調査
- 8月8日〜18日を中心とした期間の全アクセスログをチェック
- 通常と異なるAPI呼び出しパターンの特定
- SOQLクエリの実行履歴の確認
ステップ3:データの機密性レビュー
- Salesforceに保存されている添付ファイルの内容確認
- カスタム項目に記録された認証情報の洗い出し
- 営業メモ内の機密情報の特定と対策
ステップ4:セキュリティ監視の強化
サイバー攻撃の早期発見には、個人・企業を問わず包括的なセキュリティ対策が必要不可欠です。
個人の方は、アンチウイルスソフト
でリアルタイムでの脅威検知と自動防御を、VPN
で通信の暗号化と匿名化を実現できます。
企業においては、Webサイト脆弱性診断サービス
による定期的な脆弱性チェックで、攻撃者の侵入経路となり得る脆弱性を事前に発見・修正することが重要です。
ステップ5:インシデント対応体制の確立
- 社内CSIRT(Computer Security Incident Response Team)の設置
- 外部フォレンジック調査会社との連携体制構築
- 法執行機関への報告準備
ステップ6:従業員教育の実施
- 営業部門向けの機密情報取り扱い教育
- SaaSツール利用時のセキュリティ意識向上
- インシデント発生時の報告手順の徹底
ステップ7:継続的な監視体制の構築
- 異常なAPIアクセスパターンの監視
- データエクスポートの制限と承認プロセス導入
- 定期的なセキュリティ監査の実施
今後の対策:同様の攻撃を防ぐために
このような攻撃を防ぐためには、以下の根本的な対策が必要です:
アーキテクチャレベルでの対策
- ゼロトラストアーキテクチャの導入:すべてのアクセスを検証
- 最小権限の原則:必要最小限のアクセス権限のみ付与
- 多要素認証の徹底:パスワードだけに依存しない認証
データガバナンスの強化
- データ分類の徹底:機密度に応じた適切な保護
- アクセス制御の細分化:ロールベースでの権限管理
- データ暗号化:保存時・転送時両方での暗号化
監視体制の構築
- SIEM(Security Information and Event Management)の導入
- 異常検知システムの構築
- 24時間365日の監視体制
企業規模別の対応優先順位
大企業(従業員1000名以上)
- 専門CSIRT部門の設置
- 高度な脅威検知システムの導入
- 定期的なペネトレーションテストの実施
- インシデント対応計画の策定と訓練
中小企業(従業員100〜1000名)
- 基本的なセキュリティツールの導入
- 外部セキュリティ専門家との契約
- 従業員のセキュリティ教育
- 重要データのバックアップ強化
小規模企業・個人事業主(従業員100名未満)
- クラウドベースのセキュリティサービス活用
- 基本的なセキュリティ対策の徹底
- 重要データの暗号化
- 定期的なシステム更新
まとめ:今こそ本格的なセキュリティ対策を
今回のSalesloft Drift攻撃は、現代のサイバー攻撃がいかに巧妙で、かつ広範囲に影響を及ぼすかを如実に示しています。単一のセキュリティ侵害が、連鎖的に複数のシステムやサービスへの不正アクセスを引き起こす時代になっているのです。
フォレンジック調査の現場で数多くの被害企業を見てきた経験から言えることは、「事後対応では手遅れ」ということです。攻撃者は常に新しい手法を編み出し、私たちの一歩先を行こうとしています。
だからこそ、今この瞬間から本格的なセキュリティ対策を始めることが重要です。個人であれば信頼性の高いアンチウイルスソフト
とVPN
の導入を、企業であればWebサイト脆弱性診断サービス
による定期的な脆弱性評価から始めてみてください。
サイバーセキュリティは「コスト」ではなく「投資」です。今日の対策が、明日の企業存続を左右するかもしれません。
