2025年9月、クラウドサービス大手のWorkivaが深刻なセキュリティインシデントを発表しました。この事件は単純なデータ漏洩ではなく、複数のSaaSサービスを経由した巧妙なサプライチェーン攻撃として、多くのIT関係者に衝撃を与えています。
フォレンジック調査の現場で数多くのインシデント対応を行ってきた経験から言えることは、この種の攻撃は今後ますます増加し、その手口も巧妙になっていくということです。今回のWorkiva事件を詳しく分析し、企業や個人が取るべき対策について解説します。
Workiva攻撃事件の概要 – 何が起こったのか
今回の攻撃は、一般的な直接攻撃ではありません。攻撃者は以下の複雑な経路でWorkivaの顧客データにアクセスしました:
攻撃の流れ:
- Salesloftが買収したDriftのSalesforce連携システムに侵入
- OAuthトークン(API認証情報)を窃取
- 盗んだトークンを使ってWorkivaのSalesforceテナントにアクセス
- 顧客の連絡先情報とサポートチケット内容を大量抽出
この攻撃により流出した情報は、氏名、メールアドレス、電話番号、そしてサポートチケットの本文です。幸い、Workivaのメインプラットフォームは無事でしたが、CRMに保存された重要な顧客情報が外部に漏れてしまいました。
サプライチェーン攻撃の恐ろしさ – なぜ防ぐのが困難なのか
私がフォレンジック調査で扱った事例でも、最も対処が困難なのがこのようなサプライチェーン攻撃です。企業がどれだけセキュリティ対策を強化しても、連携している外部サービスが攻撃されれば、間接的に被害を受けてしまいます。
今回の攻撃手法の特徴:
- OAuth悪用:正規の認証システムを乗っ取り
- API経由のアクセス:通常のユーザーアクセスと区別困難
- 証跡隠滅:Bulk APIジョブを削除して痕跡を消去
- 大量データ抽出:SOQLクエリで効率的にデータを取得
攻撃者の手口を詳細分析 – UNC6395の戦術
Google Threat Intelligence GroupがUNC6395として追跡しているこの攻撃グループの手口は、非常に組織的で計画的です。
攻撃のタイムライン(Cloudflareの事例):
- 8月9日:システムの偵察開始
- 8月12日:実際の侵入
- 8月17日:Bulk API 2.0を使用した一括データ抽出
攻撃者は単純にデータを盗むだけでなく、Salesforceのケース(Case)オブジェクトから以下のような機密情報を探索していました:
- “password” – パスワード情報
- “secret” – 秘密鍵や設定情報
- “AKIA” – AWS APIキーの識別子
実際にCloudflareでは、サポートチケットから104件のAPIトークンが発見され、すべてローテーション(更新)する事態となりました。
被害を受けた主要企業の対応状況
今回の攻撃では、Workiva以外にも複数の大手企業が被害を受けています。各社の対応を見ることで、インシデント発生時のベストプラクティスが分かります。
Cloudflare
最も詳細な情報開示を行い、攻撃者の行動を時系列で公表。104件のAPIトークンをすべてローテーションし、添付ファイルは対象外であることも明確化。
Zscaler
Salesforce連携を即座に遮断し、トークンの予防的回転を実施。顧客認証手順も強化するなど、迅速な対応を見せました。
Palo Alto Networks
Unit 42チームが詳細な技術分析を公表。攻撃者がAccount、Contact、Opportunityなど幅広いオブジェクトから情報を抽出していたことを明らかにしました。
Drift Email連携のOAuthトークンも侵害されていたことを追加で公表。少数のWorkspaceアカウントでアクセス痕跡があったものの、該当トークンを失効させて対処。
企業が今すぐ実施すべきセキュリティ対策
フォレンジック調査の現場で見てきた経験から、このような攻撃を防ぐために企業が実施すべき対策をお伝えします。
1. 第三者アプリ連携の定期監査
多くの企業で見落とされがちなのが、SaaSサービスに連携している第三者アプリの管理です。定期的に以下を確認してください:
- どのアプリがどのデータにアクセス権を持っているか
- 連携の必要性があるか(不要なものは削除)
- アクセス権限が最小限に制限されているか
2. APIトークン・認証情報の管理強化
今回の攻撃でも標的となったAPIトークンや認証情報の管理を強化する必要があります:
- 定期的なトークンローテーション
- 不要なトークンの削除
- トークンの使用状況監視
- 異常なAPI呼び出しの検知
3. サポートチケットの機密情報管理
今回多くの企業で、サポートチケット内にAPIキーやパスワードが含まれていることが判明しました。以下の対策が重要です:
- チケット内容の定期スキャン
- 機密情報投稿時の警告システム
- 自動マスキング機能の導入
個人ユーザーができる対策
企業レベルの話だけでなく、個人ユーザーも同様のリスクにさらされています。特にフリーランスや小規模事業者の方は、以下の対策を心がけてください。
1. VPN でプライバシーを保護
サプライチェーン攻撃では、通信経路の盗聴も懸念されます。特に公衆WiFiを使用する際は、VPN
を必ず使用して通信を暗号化してください。
2. アンチウイルスソフト で基本的な脅威をブロック
今回のような攻撃では、流出した情報を使ってフィッシングメールが送られてくる可能性があります。アンチウイルスソフト
を導入し、基本的なセキュリティ脅威から身を守ることが重要です。
3. 連携アプリの定期見直し
個人でも、GoogleアカウントやMicrosoftアカウントに多数のアプリを連携していませんか?定期的に連携アプリを見直し、不要なものは削除しましょう。
今回の事件から学ぶべき教訓
フォレンジックアナリストとして、今回のWorkiva事件から以下の重要な教訓を読み取ることができます:
1. 完全な防御は不可能という現実
どれだけセキュリティ対策を強化しても、連携している外部サービスが攻撃されれば影響を受けます。重要なのは、被害を最小限に抑え、迅速に対応することです。
2. 透明性のある情報開示の重要性
Cloudflareのように詳細な技術情報を開示することで、業界全体のセキュリティ向上に貢献できます。隠蔽ではなく、適切な情報共有が求められます。
3. 継続的な監視の必要性
攻撃者は証跡を消去しようとしますが、完全に隠すことは困難です。継続的な監視により、異常を早期発見することが可能です。
今後のサプライチェーン攻撃の展望
残念ながら、このようなサプライチェーン攻撃は今後も増加すると予想されます。特に以下の傾向が顕著になるでしょう:
- AIサービス連携の悪用:ChatGPTやClaude等のAI APIを悪用した攻撃
- クラウド間連携の狙撃:AWS、Azure、GCP間の連携を狙った攻撃
- IoTデバイス経由の侵入:スマートデバイスを踏み台にした企業侵入
これらの脅威に対抗するには、単一の対策ではなく、多層防御の考え方が重要です。
まとめ:継続的なセキュリティ対策の重要性
今回のWorkiva事件は、現代のサイバーセキュリティがいかに複雑で困難な課題であるかを示しています。企業の規模に関わらず、すべての組織が標的になりうる時代です。
重要なのは、完璧なセキュリティを目指すのではなく、継続的な改善とリスク管理を行うことです。今回紹介した対策を参考に、自社や個人のセキュリティ体制を見直してみてください。
特に中小企業や個人事業主の方は、限られた予算とリソースの中で効果的な対策を講じる必要があります。アンチウイルスソフト
やVPN
のような基本的なツールから始めて、徐々にセキュリティ体制を強化していくことをお勧めします。
サイバーセキュリティは「完璧」を目指すのではなく、「継続的な改善」を心がけることが最も重要なのです。
一次情報または関連リンク
SaaS giant Workiva discloses data breach after Salesforce attack – セキュリティ対策Lab
