大手セキュリティ企業も標的に:Salesloftサプライチェーン攻撃の衝撃
今年9月に発覚したSalesloft経由のサプライチェーン攻撃は、セキュリティ業界に大きな衝撃を与えました。ZscalerやPalo Alto Networks、Cloudflareなど、普段は攻撃を防ぐ側の大手セキュリティ企業までもが被害を受けたという事実は、現代のサプライチェーン攻撃の巧妙さと危険性を物語っています。
フォレンジックアナリストとして数多くのインシデント対応に携わってきた経験から言えば、この攻撃は近年見た中でも特に巧妙な手法を使った事例の一つです。攻撃者がいかにして信頼されたサードパーティサービスを悪用し、複数の企業から機密データを窃取したのか、詳しく解説していきます。
攻撃の手口:OAuthトークンを悪用した連鎖的データ窃取
攻撃の起点:SalesloftのGitHubアカウント侵害
今回の攻撃は、SalesloftのGitHubアカウントへの不正アクセスから始まりました。攻撃者は2025年3月から6月にかけて、じっくりと時間をかけて偵察活動を行っていたことがMandiantの調査で明らかになっています。
私がこれまで対応したフォレンジック事例でも、攻撃者が数ヶ月間にわたって標的環境に潜伏し、情報収集を行うケースは珍しくありません。特にサプライチェーン攻撃の場合、一つの侵入点から最大限の効果を得るため、攻撃者は慎重に準備を進めます。
核心の攻撃手法:OAuthトークンの窃取と悪用
攻撃者の狙いは、SalesloftのAIチャットボット「Drift」からOAuthトークンを盗み出すことでした。このOAuthトークンを使って、Driftと連携している各企業のSalesforceインスタンスにアクセスし、機密データを窃取するという巧妙な手口です。
OAuthトークンとは、異なるサービス間でのアクセス権限を管理する認証技術です。一度取得されると、パスワードなしでサービスにアクセスできてしまうため、攻撃者にとって非常に価値の高い標的となります。
被害企業の特徴:なぜセキュリティ企業が標的に?
今回の攻撃で特に注目すべきは、被害を受けた企業の顔ぶれです:
- Zscaler:クラウドセキュリティのリーディングカンパニー
- Palo Alto Networks:ネットワークセキュリティの大手
- Cloudflare:CDN・DDoS防護サービス大手
- Tenable:脆弱性管理ソリューション提供企業
- Proofpoint:メールセキュリティ専門企業
これらの企業は、いずれも高度なセキュリティ対策を講じているはずです。それでも被害を受けたということは、サプライチェーン攻撃の脅威がいかに深刻かを示しています。
フォレンジック調査から見えた攻撃の巧妙さ
私が関わったサプライチェーン攻撃の事例では、攻撃者は以下のような特徴を持っています:
- 長期間の潜伏:数ヶ月から数年間、発見されずに活動
- 信頼されたサービスの悪用:正規のサービス経由でアクセスするため検知が困難
- 横展開の効率化:一つの侵入点から複数の組織へアクセス
企業が取るべき対策:多層防御の重要性
即座に実施すべき対策
1. OAuthトークンの定期的なローテーション
サードパーティサービスとの連携で使用しているOAuthトークンを定期的に更新することで、万が一トークンが漏洩した場合の被害を最小限に抑えられます。
2. サードパーティアクセスの監視強化
SalesforceやGoogle Workspace、Microsoft 365などのクラウドサービスにおける外部アプリケーションのアクセス状況を定期的に監査しましょう。
3. アンチウイルスソフト
の導入
個人レベルでできる基本的な対策として、信頼性の高いアンチウイルスソフト
の導入は必須です。マルウェア感染によるトークン窃取を防ぐ第一歩となります。
中小企業向けの現実的な対策
大手企業でさえ被害を受ける現状を見ると、「中小企業には対策は無理」と思われるかもしれません。しかし、フォレンジック調査の現場で見てきた経験から言えば、基本的な対策を確実に実施することで、被害を大幅に軽減できます。
1. VPN
の活用
特に在宅勤務が増えた現在、VPN
の使用は企業の機密情報を守る上で重要な対策の一つです。公衆Wi-Fiからの不正アクセスを防ぎ、通信の暗号化により中間者攻撃のリスクを軽減できます。
2. Webサイト脆弱性診断サービス
の実施
自社のWebサイトが攻撃の踏み台にされることを防ぐため、定期的なWebサイト脆弱性診断サービス
は欠かせません。特にサプライチェーンの一部となっている企業は、自社のセキュリティが他社にも影響することを認識する必要があります。
フォレンジック調査で見えた攻撃者の新たな傾向
「Living off the Land」攻撃の増加
今回のSalesloft攻撃で特徴的だったのは、攻撃者が正規のサービスとAPIを悪用したことです。これは「Living off the Land」と呼ばれる攻撃手法で、既存のツールやサービスを使うため検知が非常に困難です。
私がフォレンジック調査を行った事例でも、攻撃者は:
- PowerShellやWMIなどの正規ツールを悪用
- 正規のクラウドサービスを中継地点として利用
- 既存の管理者アカウントを乗っ取って活動
このような手法を使うため、従来のシグネチャベースの検知システムでは発見が困難になっています。
攻撃の産業化と分業化
近年のサイバー攻撃は高度に組織化され、分業体制が確立されています。今回のような攻撃では:
- 初期侵入専門グループ:GitHubアカウントの侵害を担当
- 権限昇格・横展開グループ:OAuthトークンの窃取と悪用
- データ窃取グループ:Salesforceからの情報収集
このような分業体制により、各段階で高度な専門知識を持った攻撃者が関与し、攻撃の成功率が大幅に向上しています。
インシデント対応:Salesloftの対応から学ぶべきこと
迅速な第三者調査機関の起用
Salesloftは事件発覚後、すぐにMandiantによる第三者調査を依頼しました。これは非常に適切な判断で、以下の理由から推奨される対応です:
- 客観性の確保:内部調査では見落としがちな痕跡の発見
- 専門性の活用:高度なフォレンジック技術による徹底的な調査
- 信頼性の向上:第三者による調査結果は顧客や株主への説明責任を果たす
透明性のあるコミュニケーション
Salesloftは調査結果を段階的に公表し、影響を受けた企業名も明かしました。これは短期的にはネガティブな影響があるものの、長期的な信頼回復には必要な対応です。
私がフォレンジック調査に関わった案件でも、情報開示に消極的だった企業ほど、後になって大きなレピュテーション被害を受ける傾向があります。
今後の展望:サプライチェーンセキュリティの重要性
ゼロトラストアーキテクチャの必要性
今回の事件は、従来の境界防御モデルの限界を示しています。信頼されたサードパーティサービス経由で攻撃が行われるため、「内部は安全」という前提が成り立ちません。
企業は以下のようなゼロトラストアプローチを採用する必要があります:
- すべてのアクセスを検証
- 最小権限の原則の徹底
- 継続的な監視と分析
サプライチェーンリスク管理の標準化
今後は、サプライチェーンに関わるすべての企業で、統一されたセキュリティ基準の策定が急務となるでしょう。ISO 27001やNIST Cybersecurity Frameworkなどの国際標準に加え、サプライチェーン特有のリスクに対応した新たなフレームワークの開発も進んでいます。
まとめ:多層防御でサプライチェーン攻撃に備える
今回のSalesloft経由のサプライチェーン攻撃は、現代のサイバー脅威の複雑さと巧妙さを如実に示した事例でした。大手セキュリティ企業でさえ被害を受けるという現実を前に、すべての企業が自らのセキュリティ体制を見直す必要があります。
個人レベルではアンチウイルスソフト
とVPN
の使用、企業レベルではWebサイト脆弱性診断サービス
の実施など、それぞれのレベルでできる対策から始めることが重要です。
フォレンジックアナリストとしての経験から言えば、完璧なセキュリティは存在しません。しかし、適切な対策と継続的な監視により、攻撃の早期発見と被害の最小化は十分に可能です。
サプライチェーン攻撃の脅威は今後も続くでしょう。しかし、その脅威を正しく理解し、適切な対策を講じることで、企業と個人の両方がより安全なデジタル環境を構築できるのです。
