こんにちは。現役CSIRTでフォレンジックアナリストをやっている者です。
2025年8月下旬に発生したSalesloft Driftを起点とした大規模サプライチェーン攻撃について、多くの企業から問い合わせをいただいているので、詳しく解説していきたいと思います。
この事件、実は単なる「一社のデータ漏洩」じゃないんです。これは典型的なサプライチェーン攻撃で、一つのサービスを経由して複数の企業に被害が拡大した、かなり深刻な事案です。
事件の概要:OAuthトークン窃取から始まった連鎖反応
今回の攻撃の発端は、マーケティングSaaSサービスである「Salesloft Drift」に保存されていたOAuthトークンの窃取でした。
攻撃者グループUNC6395は、このトークンを悪用して複数企業のSalesforce環境に不正アクセスを行い、大量のデータを窃取しました。その被害企業の中にセキュリティ大手のZscalerも含まれていたというのが、今回の事件の衝撃的な部分です。
被害の詳細
Zscalerで確認された流出情報は以下の通りです:
- 担当者の氏名
- 業務メールアドレス
- 役職情報
- 電話番号
- 所在地
- 製品ライセンス情報・商流情報
- 一部サポートケースのテキスト本文(添付ファイル・画像は含まず)
幸い、Zscalerのプロダクト自体や基盤システムへの侵入は確認されておらず、現時点では流出情報の悪用も確認されていません。
UNC6395による高度なサプライチェーン攻撃手法
Google Threat Intelligence Group(GTIG)の分析によると、この攻撃は8月8日から18日にかけて実行された組織的なデータ窃取キャンペーンでした。
攻撃の流れ
- 初期侵入:Drift内のOAuth/リフレッシュトークンを窃取
- 権限昇格:窃取したトークンでSalesforceにAPIアクセス
- データ探索:SOQLクエリでAccount/Opportunity/User/Caseから情報収集
- 秘匿情報検索:AWSアクセスキー(AKIA)、Snowflakeトークン、パスワード断片を標的に
- 攻撃拡大:Drift Email連携トークンも侵害し、Google Workspaceメールへのアクセスも実行
フォレンジック調査の観点から見ると、これは非常に計画的で sophisticated な攻撃です。単なる「たまたま見つけた脆弱性を突いた」レベルではなく、明確にサプライチェーンを狙った戦略的攻撃と言えるでしょう。
なぜサプライチェーン攻撃が増えているのか
最近、このようなサプライチェーン攻撃が急増している理由を、現場の視点で説明します。
効率性の観点
攻撃者にとって、一つのサービスを侵害するだけで複数の企業にアクセスできるというのは、非常に「コスパの良い」攻撃手法です。特に、今回のようにSalesforceのような基幹システムと連携しているサービスを狙えば、機密性の高い営業情報や顧客情報に一気にアクセスできます。
防御の盲点を突く
多くの企業は自社のセキュリティ対策には力を入れますが、連携している外部サービスのセキュリティ状況まで常時監視するのは困難です。この「見えない部分」が攻撃者に狙われているのが現状です。
企業が今すぐ取るべき緊急対策
Googleは「Driftを使用しているすべての組織は、プラットフォームに保存・接続されているすべての認証トークンを侵害されたものとして扱うべき」と警告を出しています。
即座に実行すべき対策
- トークンの無効化:Driftに関連するすべての認証トークンを即座に失効
- 認証情報のローテーション:新しいトークン・パスワードに更新
- ログ調査:接続されているすべてのシステムで不正アクセスの痕跡を調査
- セキュリティ監視強化:異常なAPIアクセスやデータ転送がないかモニタリング
個人・中小企業でも起こりうるサプライチェーン攻撃
「うちは大企業じゃないから関係ない」と思っている方、それは大きな間違いです。
実際のフォレンジック事例として、ある中小企業では無料のマーケティングツールを使っていたところ、そのツール経由でGoogle Workspaceにアクセスされ、取引先の機密情報まで流出したケースがありました。被害額は数百万円に上り、取引先からの信頼失墜で事業継続も困難になりました。
また、個人事業主の案件でも、SNS管理ツールの OAuth トークンが漏洩し、顧客のSNSアカウントが乗っ取られるという事例を調査したことがあります。
個人・中小企業向けの現実的な対策
基本的なセキュリティ対策の徹底
まず、個人や中小企業レベルでできる基本的な対策として、信頼性の高いアンチウイルスソフト
の導入は必須です。外部サービス連携時の不審な通信を検知したり、マルウェア感染によるトークン窃取を防ぐ効果があります。
通信の暗号化
特にリモートワークが多い現在、VPN
の使用も重要な対策の一つです。公衆Wi-Fiや不安定なネットワーク経由でのAPI通信を暗号化することで、中間者攻撃によるトークン窃取を防げます。
企業向け:より高度なセキュリティ対策
企業レベルでは、もう少し踏み込んだ対策が必要になります。
定期的な脆弱性診断の重要性
今回のような攻撃を防ぐには、自社システムだけでなく、連携している外部サービスとの接続部分も含めて定期的にセキュリティチェックを行う必要があります。
特に、Webアプリケーションと外部API連携部分については、Webサイト脆弱性診断サービス
を定期的に実施することをお勧めします。OAuth実装の不備やトークン管理の問題など、見落としやすいセキュリティホールを発見できます。
インシデント対応計画の策定
万が一、連携先サービスで今回のような事件が発生した場合に備えて、以下の対応計画を事前に準備しておくことが重要です:
- 緊急時のトークン無効化手順
- 影響範囲の迅速な特定方法
- 顧客・取引先への通知プロセス
- フォレンジック調査を依頼する専門会社の連絡先
今後の見通しと対策の重要性
残念ながら、このようなサプライチェーン攻撃は今後も増加すると予想されます。特に、SaaS連携が当たり前になった現在、一つのサービスの侵害が広範囲に影響を与える構造的リスクは避けられません。
重要なのは、「完璧な防御は不可能」という前提に立って、被害を最小限に抑える準備をしておくことです。
継続的な監視と改善
セキュリティは「一度対策すれば終わり」というものではありません。特に外部サービス連携については、連携先のセキュリティ状況を定期的にチェックし、必要に応じて連携方法を見直すことが大切です。
まとめ:今こそセキュリティ対策の見直しを
今回のZscaler・Salesloft Drift事件は、現代のデジタルビジネス環境における構造的なリスクを浮き彫りにしました。
特に重要なポイントは:
- サプライチェーン攻撃は企業規模に関係なく発生する
- 外部サービス連携のセキュリティリスクを過小評価してはいけない
- 基本的なセキュリティ対策(アンチウイルス、VPN等)の重要性
- 定期的な脆弱性診断と継続的な監視の必要性
この記事を読んでいるあなたも、明日同じような攻撃の標的になる可能性があります。「うちは大丈夫」という楽観視ではなく、「いつ被害に遭ってもおかしくない」という前提で、今すぐ対策を見直してみてください。
セキュリティ投資は「コスト」ではなく「保険」です。被害に遭ってから対策するのではなく、被害を防ぐための先行投資として考えることが、結果的に最も経済的な選択となるはずです。
