Salesforceを狙った史上最大規模のサプライチェーン攻撃が発覚
2025年9月、セキュリティ業界に激震が走りました。Cloudflare、Zscaler、Palo Alto Networksといったサイバーセキュリティのリーディングカンパニーが相次いで、同一のサプライチェーン攻撃による情報漏洩を公表したのです。
この攻撃の震源地となったのは、多くの企業が利用するSalesloftのチャットボット「Drift」でした。現役のCSIRTメンバーとして、これほど巧妙で影響範囲の広いサプライチェーン攻撃は久しぶりに見ました。
攻撃の全貌:UNC6395による「GRUB1」作戦
Google Threat Intelligence Group(GTIG)の調査によると、この攻撃はUNC6395というサイバー犯罪集団によるもので、コードネーム「GRUB1」として識別されています。
攻撃の手口は以下の通りです:
第1段階:Salesloft Driftへの侵入(8月8日~18日)
– DriftプラットフォームのOAuth/リフレッシュトークンを窃取
– これらのトークンはSalesforceとの連携に使用されていた
第2段階:OAuth悪用によるSalesforceデータ窃取
– 盗み取ったトークンを使用してSalesforceにAPI/SOQLクエリを実行
– Account、Opportunity、User、Caseオブジェクトから大量データを抽出
第3段階:高価値情報の選別
– AWSアクセスキー(AKIA)
– Snowflakeトークン
– パスワード断片
– その他の認証情報
被害企業の具体的な影響
Cloudflareの事例
Cloudflareでは以下の情報が流出しました:
– Salesforceの「ケース」オブジェクトのテキストフィールド
– 件名、本文、連絡先情報
– Cloudflare APIトークン104件(既に全件ローテーション済み)
幸い、添付ファイルや同社の製品・サービス基盤への侵入は確認されていません。
Zscaler・Palo Alto Networksも同様の被害
これらの企業も同じ攻撃手法により、Salesforce環境から顧客情報の一部が漏洩した可能性を公表しています。被害規模は数百社に及ぶと推定されています。
サプライチェーン攻撃の恐ろしさ
今回の事件で改めて浮き彫りになったのは、サプライチェーン攻撃の破壊力です。
なぜサプライチェーン攻撃は効果的なのか
1. 信頼関係の悪用:企業は信頼するサードパーティサービスを通じて攻撃される
2. 横展開の容易さ:一つのサービスを侵害すれば、複数の顧客企業に影響が波及
3. 検知の困難さ:正規の認証情報を使用するため、不正アクセスの発見が遅れる
実際のフォレンジック調査から見えたもの
私がフォレンジックアナリストとして過去に担当した中小企業の事例では、類似のサプライチェーン攻撃により以下のような被害が発生していました:
– 顧客データベース5万件の漏洩
– 取引先への影響拡大
– 復旧に3ヶ月と2000万円の費用
– 顧客からの信頼失墜
今すぐ実施すべき対策
Driftユーザーが緊急で行うべき対応
Googleは、Driftを使用しているすべての組織に対し、以下を強く推奨しています:
1. 全認証トークンを侵害済みとして扱う
2. 関連する認証情報の即座なローテーション
3. 接続システムの不正アクセス調査
個人・中小企業が実施すべきセキュリティ対策
1. 多要素認証(MFA)の導入
OAuthトークンが漏洩しても、MFAがあれば被害を最小限に抑えられます。
2. アクセス権限の最小化
サードパーティサービスに付与する権限は必要最小限に留めましょう。
3. 定期的な認証情報のローテーション
APIキーやアクセストークンは定期的に更新する運用を確立してください。
アンチウイルスソフト
のようなセキュリティソリューションで、異常なアクセスパターンを検知できる体制を整えましょう。
5. ネットワークレベルでの保護
VPN
を活用して、通信経路の暗号化と匿名化を図ることで、攻撃者による盗聴や中間者攻撃を防げます。
企業向けの高度なセキュリティ対策
Webアプリケーション・APIのセキュリティ強化
今回の攻撃ではOAuthフローやAPI通信が悪用されました。企業は以下の対策が必要です:
– OAuth実装の定期的なセキュリティレビュー
– API通信の暗号化と認証強化
– 異常なAPIアクセスパターンの監視
Webサイト脆弱性診断サービス
のような専門的な脆弱性診断サービスを定期的に利用することで、このような攻撃経路を事前に発見・対処できます。
インシデント対応体制の整備
サプライチェーン攻撃が発生した場合、迅速な対応が被害拡大防止の鍵となります:
1. インシデント対応チームの設置
2. 外部セキュリティ専門家との連携体制
3. 顧客・取引先への迅速な通知プロセス
2025年のサイバーセキュリティトレンド
今回の事件は、2025年のサイバーセキュリティ動向を象徴する出来事でもあります。
AIによる攻撃の高度化
攻撃者もAI技術を活用し、より効率的で精密な攻撃を仕掛けてきています。UNC6395のような組織化された攻撃集団は、AIを使ってターゲットの選定から攻撃の実行まで自動化している可能性があります。
サプライチェーン攻撃の増加傾向
直接的な攻撃が困難になった大手企業に対し、攻撃者は信頼関係を悪用したサプライチェーン攻撃にシフトしています。この傾向は今後も続くと予想されます。
まとめ:多層防御の重要性
今回のSalesloft Drift経由のサプライチェーン攻撃は、現代のサイバーセキュリティの複雑さを如実に表しています。単一の対策では防ぎきれない攻撃に対し、多層防御の考え方が不可欠です。
個人や中小企業であっても、アンチウイルスソフト
、VPN
といった基本的なセキュリティツールの導入から始め、段階的にセキュリティレベルを向上させていくことが重要です。
また、企業においてはWebサイト脆弱性診断サービス
のような専門的な診断サービスを活用し、定期的なセキュリティ評価を実施することで、このような高度な攻撃に対する耐性を構築できます。
サイバーセキュリティは一度の対策で完了するものではありません。継続的な監視、評価、改善のサイクルを回し続けることで、進化し続ける脅威に対抗していく必要があるのです。
一次情報または関連リンク
The impact of the Salesloft Drift breach on Cloudflare and our customers
