こんにちは。CSIRT(Computer Security Incident Response Team)で日々インシデント対応にあたっているフォレンジックアナリストです。
今回は2025年8月に発生した、まさに「現代のサプライチェーン攻撃の教科書」と言えるような深刻なインシデントについて、現場の視点から詳しく解説していきます。
SalesloftのDriftというチャット製品を起点として、数百社規模のSalesforceデータが攻撃者に奪取された事件。これは単なる「システム侵入」ではなく、正規の認証情報を悪用した巧妙な手口でした。
事件の全体像:なぜこれほど大規模な被害となったのか
フォレンジック調査の現場にいると、「なぜここまで被害が拡大したのか」という疑問を常に抱きます。今回のインシデントは、まさに現代のクラウドサービス連携の盲点を突いた攻撃でした。
攻撃の仕組み:OAuth認証の正規利用という巧妙さ
攻撃者が用いた手口は非常に巧妙でした:
- Drift側のシステム侵害:まず攻撃者はSalesloft傘下のDriftのシステムに侵入
- 認証情報の窃取:Drift側に保存されていたOAuthトークンやAPIキーを入手
- 正規権限での横展開:盗んだ認証情報を使い、各社のSalesforceに「正規アプリ」としてアクセス
- データの大量抽出:SOQLクエリやBulk API 2.0を駆使してサポートケースや連絡先情報を一括取得
私がこれまで対応してきた事例でも、このような「正規権限を悪用した攻撃」は検知が非常に困難です。なぜなら、システムから見れば「正規のアプリが正常にアクセスしている」ように見えるからです。
被害企業の実際の対応:フォレンジック観点での分析
今回のインシデントでは、Cloudflare、Palo Alto Networks、Zscaler、Taniumなど、セキュリティ業界の大手企業も被害を受けました。しかし、彼らの対応は非常に迅速かつ適切でした。
Cloudflareの対応事例:模範的なインシデントレスポンス
Cloudflareは以下のような対応を行いました:
- SalesforceのCase本文に含まれていたAPIトークン104件を特定し、全件ローテーション
- 攻撃の時系列を詳細に公開(8/9偵察 → 8/12侵入 → 8/17一括抽出 → ジョブ削除)
- IOC(侵害指標)の公開により、他社の調査を支援
フォレンジック調査において、この「時系列の再構成」は極めて重要です。攻撃者の行動パターンを把握することで、被害範囲の特定や今後の防御策立案に繋がります。
中小企業が見落としがちなリスク:SaaS連携の盲点
私が中小企業のインシデント対応で頻繁に目にするのが、「SaaS連携の管理不備」です。今回のような攻撃は、大企業だけの問題ではありません。
実際にあった中小企業の事例
ある製造業の中小企業では、営業部門が独自に導入したチャットボットサービスがSalesforceと連携していました。しかし、IT部門はその存在を把握しておらず、以下のような問題が発生:
- 連携に使用されている認証情報の管理者が不在
- 連携範囲(アクセス権限)の定期的な見直しがされていない
- 連携サービス側でのインシデント発生時の連絡体制が未整備
幸い大きな被害には至りませんでしたが、もしこの連携が今回のDriftのような攻撃対象になっていたら、顧客情報や営業機密が流出していた可能性があります。
フォレンジック調査で見えた攻撃者の狙い
今回の攻撃で注目すべきは、攻撃者が単にデータを盗むだけでなく、「機密情報の探索」も行っていたという点です。
攻撃者が探していたもの
Palo Alto Networksの報告によると、攻撃者は以下のような文字列を含むデータを積極的に探索していました:
- “password” – パスワード情報
- “secret” – 秘密鍵やAPIシークレット
- “AKIA” – AWS IAMアクセスキーの識別子
これらの情報を入手できれば、さらなる攻撃の足がかりとして利用できます。つまり、今回の攻撃は「初期侵入」に過ぎず、より大規模な攻撃の準備段階だった可能性があります。
技術的な防御策:現場で有効だった対策
フォレンジック調査の経験から、今回のような攻撃に対して実際に有効だった対策をご紹介します。
1. 連携アプリケーションの定期監査
多くの企業で見落とされがちですが、以下のような監査を定期的に実施することが重要です:
- 現在連携しているSaaSアプリケーションの一覧化
- 各連携のアクセス権限範囲の確認
- 連携に使用されている認証情報の管理状況チェック
- 連携先サービスのセキュリティ体制の確認
2. 異常なAPIアクセスの監視
今回の攻撃では、大量のデータ抽出にBulk API 2.0が使用されました。以下のような監視を行うことで、異常を早期発見できます:
- 通常とは異なる大量のAPI呼び出し
- 夜間や休日など、業務時間外のアクセス
- 普段使用しないAPIエンドポイントへのアクセス
- データエクスポート系のAPIの大量使用
個人・中小企業向けの現実的な対策
大企業のような高度なセキュリティ体制を構築するのは現実的ではありません。しかし、基本的な対策を確実に実施することで、リスクを大幅に軽減できます。
すぐにできる対策
以下の対策は、コストをかけずに今すぐ実施できます:
- SaaS連携の棚卸し:現在使用している全てのクラウドサービス連携を把握
- 不要な連携の削除:使われていない古い連携は即座に削除
- 権限の最小化:連携に必要最小限の権限のみを付与
- 認証情報の定期更新:API キーやトークンを定期的にローテーション
セキュリティソフトの重要性
今回のような攻撃では、端点(エンドポイント)のセキュリティも重要です。万が一、フィッシングメールや悪意のあるWebサイトを通じて、さらなる攻撃が仕掛けられた場合、アンチウイルスソフト
が最後の砦となります。
特に、今回被害を受けた企業の連絡先情報が流出している可能性があるため、標的型攻撃のリスクが高まっています。従業員の端末には必ず最新のアンチウイルスソフト
を導入しておくことをお勧めします。
リモートワーク環境での対策
リモートワークが一般的になった現在、社外からSaaSサービスにアクセスする機会が増えています。このような環境では、VPN
の利用が不可欠です。
VPN
を使用することで、以下のメリットがあります:
- 通信の暗号化により、認証情報の盗聴を防止
- IPアドレスの隠蔽により、攻撃者による追跡を困難に
- 不審なサイトへのアクセスをブロック
企業向けの高度な対策:Webサイト脆弱性の継続監視
今回のインシデントを受けて、多くの企業が自社のWebサイトやWebアプリケーションのセキュリティを見直しています。特に、SaaSサービスとの連携機能を持つWebサイトでは、定期的な脆弱性診断が重要です。
私が関わった企業の中でも、Webサイト脆弱性診断サービス
を導入することで、以下のような脆弱性を事前に発見・修正できた事例があります:
- OAuth連携の実装不備
- APIエンドポイントの認証不備
- SQLインジェクション脆弱性
- クロスサイトスクリプティング(XSS)脆弱性
特に今回のような攻撃では、正規の連携機能を悪用されるため、連携部分の実装に問題がないかを定期的にチェックすることが重要です。
今後の展望:サプライチェーン攻撃の進化
フォレンジック調査の現場では、サプライチェーン攻撃がますます巧妙化していることを実感します。今回のDrift-Salesforce攻撃は、その典型例と言えるでしょう。
攻撃者の戦術の変化
従来の攻撃では、標的企業に直接侵入することが多かったですが、現在は以下のようなアプローチが主流となっています:
- 信頼されているサービスプロバイダーへの侵入
- 正規の認証情報を使った「正当なアクセス」に見せかけた攻撃
- 複数のサービス間の連携を悪用した横展開
これらの攻撃は検知が困難で、被害範囲も広範囲に及ぶため、従来の境界型セキュリティでは防御が困難です。
まとめ:継続的な警戒と対策が鍵
今回のDrift-Salesforce攻撃事例から学ぶべき教訓は多岐にわたります。特に重要なのは、「信頼しているサービスだからといって安心できない」という現実です。
フォレンジック調査の現場で日々感じているのは、攻撃者の手口が年々巧妙化している一方で、基本的な対策を確実に実施している企業は被害を最小限に抑えられているということです。
個人の方も企業の方も、まずは以下の基本対策から始めてみてください:
- 使用しているクラウドサービスの連携状況を把握する
- 不要な連携は速やかに削除する
- アンチウイルスソフト
とVPN
で端点を保護する - 企業の場合はWebサイト脆弱性診断サービス
で定期的な脆弱性チェックを実施する
サイバー攻撃は「もし起きたら」ではなく「いつ起きるか」という前提で備えることが重要です。今回の事例を教訓に、一人ひとりがセキュリティ意識を高めていきましょう。
一次情報または関連リンク
セキュリティ対策Lab – Salesforce Salesloft Drift サプライチェーン攻撃
