2025年夏、Salesforceを震撼させた史上最大級のサイバー攻撃
2025年の夏、IT業界に衝撃が走りました。世界最大級のCRMプラットフォーム「Salesforce」を標的とした、極めて巧妙なサイバー攻撃が発覚したのです。
この攻撃の恐ろしさは、Salesforce本体を直接攻撃したのではなく、連携する第三者アプリ「Salesloft(Drift)」を踏み台にした「サプライチェーン型攻撃」だったことです。
現在、北カリフォルニア地裁には十数件もの集団訴訟が提起され、被害者たちが損害賠償を求めています。被害企業にはクラウドフレア、Zscaler、Palo Alto Networksなどの大手IT企業も含まれており、その影響の大きさが分かります。
攻撃の巧妙な手口 – OAuthトークンを狙った新たな脅威
フォレンジック調査により明らかになった攻撃手法は以下の通りです:
Step 1: GitHub侵害
攻撃者はまずSalesloft(Drift)のGitHubリポジトリに侵入しました。多くの企業が見落としがちですが、GitHubには機密情報が含まれることがあります。
Step 2: OAuthトークン窃取
GitHubから、SalesforceとDrift間の連携に使用される「OAuthトークン」を盗み出しました。このトークンは正規のアクセス権限を持つため、セキュリティシステムをすり抜けることができます。
Step 3: 大量データエクスポート
盗んだトークンを使って、Salesforce APIに正規のアプリとしてアクセス。Account、Opportunity、User、Caseなどの重要な顧客データを大量にエクスポートしました。
Google Threat Intelligence Groupは、この攻撃グループを「UNC6395」として追跡しており、Drift Email連携トークン経由でGoogle Workspaceにまでアクセスが及んでいたことを確認しています。
被害の深刻さ – 個人情報流出の実態
訴訟資料から明らかになった被害内容は深刻です:
- 氏名、社会保障番号(SSN)
- 請求先住所、電話番号
- メールアドレス、生年月日
- その他の個人識別情報(PII)
信用情報機関TransUnionからの通知書(8月26日付)によると、「第三者アプリに保存されていた個人データへの不正アクセスがあった」と報告されています。
実際のフォレンジック事例から見る被害の実態
私がCSIRTで対応した類似事案では、OAuthトークン侵害により以下のような被害が発生しています:
中堅製造業A社のケース:
– 顧客データベース全体(約5万件)が流出
– 取引先企業からの信頼失墜により、契約解除が相次ぐ
– 対応費用だけで2億円を超える損失
IT企業B社のケース:
– 従業員の個人情報が闇サイトで販売
– 標的型攻撃メールの材料として悪用
– 事業継続に深刻な影響
なぜこの攻撃は防げなかったのか?
今回の攻撃が成功した理由は、従来のセキュリティ対策の盲点を突いたからです:
1. 第三者連携のリスク軽視
多くの企業が、自社システムのセキュリティには気を使っても、連携する第三者アプリのセキュリティまでは十分に検証していません。
2. OAuthトークンの管理不備
OAuthトークンは「デジタルの鍵」のようなものですが、その管理や監視が不十分でした。
3. サプライチェーン全体の可視化不足
自社だけでなく、連携する全てのサービスのセキュリティ状況を把握する必要があります。
あなたの会社が今すぐ取るべき緊急対策
1. 第三者連携の緊急監査
まず、自社のSalesforceや他のクラウドサービスに連携している全てのアプリを洗い出してください。特に以下を確認:
– 連携アプリのセキュリティ評価
– アクセス権限の必要最小限化
– 定期的な権限見直し
2. 包括的セキュリティ対策の実装
アンチウイルスソフト
の導入により、マルウェアや不正なアクセスを早期発見できます。特にエンドポイント保護は必須です。
3. 通信経路の暗号化強化
VPN
を使用して、すべての業務通信を暗号化することで、たとえデータが傍受されても内容を保護できます。
4. Webアプリケーションの脆弱性対策
Webサイト脆弱性診断サービス
を定期的に実施し、外部からの攻撃経路を事前に塞ぐことが重要です。
集団訴訟から見える企業の責任
現在進行中の集団訴訟では、原告側が以下を主張しています:
- セキュリティ管理の過失
- FTC Actに基づく合理的安全管理の不備
- カリフォルニア州消費者プライバシー法(CCPA)違反
- 黙示契約違反
原告らは損害賠償に加えて、「年次セキュリティ監査の実施」「長期の与信監視サービス提供」などの差し止め命令も求めています。
Salesforceの対応と企業の責任
Salesforce側は「自社プラットフォーム自体の侵害ではない」と主張していますが、連携する第三者アプリのセキュリティまで管理することの難しさを示しています。
しかし、企業の立場から見れば、どこに責任があるかに関係なく、顧客データを保護する義務があります。
今後予想される影響
– サプライチェーン全体のセキュリティ強化義務
– 第三者連携時のより厳格な審査
– インシデント対応計画の見直し
– セキュリティ投資の大幅増加
まとめ:サイバー攻撃の新時代への備え
今回のSalesforce関連攻撃は、サイバーセキュリティの新たな脅威を浮き彫りにしました。攻撃者は直接的な侵入ではなく、信頼関係を悪用したサプライチェーン攻撃を選択しています。
個人レベルでも企業レベルでも、以下の対策が急務です:
個人として:
– パスワード管理の徹底
– 二段階認証の有効化
– 定期的なアカウント監視
企業として:
– サプライチェーン全体のセキュリティ評価
– インシデント対応計画の策定
– 従業員への継続的なセキュリティ教育
サイバー攻撃は「いつか起こるかもしれない脅威」ではなく、「いつ起こってもおかしくない現実の危険」です。今すぐ行動を起こして、あなたの大切なデータを守りましょう。
