概要:Salesforceデータ漏洩と恐喝ポータル
「Scattered Lapsus$ Hunters」と名乗るハッカー集団が、盗み出したデータを公開する恐喝ウェアポータルを立ち上げました。このグループは、数ヶ月にわたるソーシャルエンジニアリング、OAuth悪用、およびサプライチェーンの侵害を通じて入手したSalesforceのデータセットを武器に、被害企業に身代金の支払いを要求しています。支払いに応じない場合、盗んだデータを公開すると脅迫しています。
UpGuardなどのアナリストは、このキャンペーンがSalesforce統合を悪用したボイスフィッシングから、SalesloftのDriftエコシステムとOAuthトークンに結びついた大規模なデータ窃盗作戦へと発展したことを追跡しています。Googleの脅威インテリジェンスチームも、攻撃者が説得力のある電話による偽装と不正な統合を利用して、Salesforceインスタンスへの特権アクセスを獲得したことを報告しています。
一連の出来事のタイムライン
- 2024年後半: 攻撃者は電話ベースのソーシャルエンジニアリング(「ビッシング」)を実施し、ユーザーや管理者に悪意のあるSalesforce統合を追加させ、APIレベルのアクセス権と大規模なデータ流出を可能にしました。FBIは、GoogleやCiscoを含む主要企業からSalesforceデータが盗まれる協調的なキャンペーンについて警告を発しました。
- 2025年3月~6月: 攻撃者はSalesloftの企業GitHub環境を侵害し、ユーザーを作成してリポジトリとワークフローを操作しました。その後、DriftアプリケーションのAWS環境に侵入し、Drift顧客に属するOAuthトークンを発見。これらのトークンを悪用して、最も重要なSalesforceを含む統合プラットフォームにプログラムでアクセスしました。
- 2025年6月~8月: Googleは、ボイスフィッシングの手口と悪意のあるSalesforce統合に関する詳細なアドバイザリを公開しました。8月中旬までに、有効なOAuthトークンが被害者からSalesforceデータを引き出すために積極的に使用され、影響は当初の想定を超えて拡大しました。
- 2025年8月20日~26日: SalesloftはDriftインシデントを公表し、Googleはデータ窃盗のメカニズムに関する詳細な技術分析をリリース。これにより、人間の操作、コードリポジトリの脆弱性、クラウドサービスへのトークン化されたアクセスが組み合わされた脅威経路が改めて強調されました。
- 2025年9月: 集団は一時的に「活動停止」を主張しましたが、Salesforceデータに関連する活動は継続しており、作戦の再編または一時的な休止を示唆しています。
- 2025年10月3日: グループはTORホストの恐喝ポータルを公開し、Salesforceの顧客とされる企業と流出したとされるデータ量をリストアップ。10月10日を支払い期限とし、要求が満たされない場合は公開すると脅迫しています。
恐喝ウェアポータルとその影響
リークサイトは、組織名と盗まれたとされるSalesforceデータの割合または量をカタログ化しており、顧客、パイプライン、取引メタデータといったビジネス上重要なデータの性質を武器にしています。これは戦略的な選択であり、Salesforceの強みである広範なサードパーティ統合と柔軟なAPIが、ユーザーの信頼とOAuthスコープが悪用された場合に攻撃対象領域を拡大することを示しています。
この事件から得られる教訓は明確です。ユーザーリスクと統合ガバナンスが、企業のデータ防御の中心に位置づけられるべきです。GitHub/AWSのシークレット衛生、OAuthスコープの最小化、最小特権の原則、トークンのローテーション、継続的な統合監視は、もはやオプションの制御ではなく、必須の対策となっています。
主な侵入経路は以下の2つでした。
- ユーザーを騙して、広範な読み取りスコープを持つ悪意のある統合を承認させること。
- 正当な統合プロバイダー(Drift)を侵害し、発見されたOAuthトークンを悪用して、接続されたSalesforceテナントからデータを収集すること。
Salesforceは、プラットフォームの侵害や脆弱性の悪用を示す兆候はないと述べており、これはソーシャルエンジニアリング、OAuthトークンの悪用、サプライチェーンの弱点に起因するもので、Salesforceの中核的な欠陥ではないという証拠と一致しています。しかし、Salesforceは、集約されたデータの量と機密性、そして強力な統合を通じて公開されるデータのために、依然として影響の中心にあります。