概要：Salesforceが顧客環境への攻撃を調査

Salesforceは、クラウドカスタマーサクセスプラットフォームであるGainsightが公開したアプリケーションに接続された顧客環境を標的とするハッキングキャンペーンについて調査を進めています。この動きは、セキュリティアドバイザリを通じて水曜日の夜に発表されました。

Salesforceの発表によると、この疑わしい活動により、未承認の第三者がGainsight製アプリケーションを利用している特定の顧客のSalesforceデータに不正アクセスした可能性があるとのことです。

Salesforceの緊急対応

事態を受けてSalesforceは迅速な対応を取りました。具体的には：

• Gainsightが公開したアプリケーションにリンクされているすべてのアクティブトークンおよびリフレッシュトークンを失効させました。
• これらのアプリケーションをAppExchangeマーケットプレイスから一時的に削除しました。

この措置は、潜在的な脅威から顧客データを保護するための緊急措置として実施されました。

OAuthトークンを悪用する攻撃者

Google脅威インテリジェンスグループ（GTIG）の研究者は、ShinyHuntersと関連付けられるハッカーが、OAuthトークンを侵害してSalesforce顧客インスタンスへの不正アクセスを試みていることを確認しました。GTIGの主席脅威アナリストであるAustin Larsen氏は、「攻撃者は信頼されたサードパーティのSaaS統合のOAuthトークンをますます標的にしています」と述べ、最近のSalesloft Driftを標的としたキャンペーンと同様の傾向が続いていると指摘しています。

過去の類似事例と継続的な脅威

Salesloft Driftキャンペーンでは、ハッカーが数百の組織を標的にし、AIベースのアプリケーションを悪用して資格情報を収集し、その後の攻撃に利用しようとしました。今回のGainsight関連の事案も、同様のサードパーティ連携を狙ったサプライチェーン攻撃の一環である可能性が示唆されています。

GainsightとSalesforceの連携、プラットフォームの安全性

Gainsightは、顧客サポートの投稿で、トークン失効につながった問題についてSalesforceと協力して調査していると述べています。Salesforceは、現在のところGainsight関連の活動がSalesforceプラットフォーム自体の脆弱性に関連している兆候はないと強調しており、この問題がサードパーティアプリケーションの連携ポイントに起因するものである可能性が高いことを示唆しています。

推奨されるセキュリティ対策

GTIGの研究者たちは、セキュリティチームに対し、以下の対策を強く推奨しています：

• 自社のSaaS環境を監査し、未使用または疑わしいアプリケーションのOAuthトークンをレビューすること。
• 不審な活動が発見された場合は、直ちに資格情報をローテーションすること。

これらの対策は、企業がサードパーティの統合を介した潜在的な脅威から自社を保護するために不可欠です。

---

元記事: https://www.cybersecuritydive.com/news/salesforce-investigating-customer-connected-Gainsight/806093/