Salesforce顧客情報侵害、Gainsightが主要連携を一時停止

カスタマーリテンションと効率化を支援するソフトウェア企業Gainsightは、Salesforceとの連携を標的としたサプライチェーン攻撃を受け、Zendesk、HubSpot、Gongといった主要なアプリケーション連携を一時的に停止しました。

この動きは、先週SalesforceがGainsightとの接続を狙った攻撃の調査を開始したことを受けてのものです。Salesforceは、Gainsightが発行したアプリケーションにリンクされているすべてのアクティブおよびリフレッシュトークンを無効化する措置を講じました。

攻撃の詳細と関与する脅威アクター

Google Threat Intelligence Group（GTIG）の研究者は、この攻撃がShinyHuntersという脅威グループに関連しており、Gainsight連携を通じて200件以上のSalesforce顧客データが侵害された可能性を指摘しています。

Gainsightは、自社の複数の製品、具体的にはCommunity – CC、Skilljar – SJ、Northpass – CEが影響を受けていることを確認しました。これらの製品は引き続き稼働していますが、現在はSalesforceからのデータ読み書きができない状態となっています。

Gainsightと他社の対応

Gainsightは、環境強化のためにいくつかの対策を講じています。これには、VPNおよび重要システムへのアクセスに使用される多要素認証情報のローテーションが含まれます。また、顧客に対しては予防措置としてS3キーをローテーションするよう要請しています。

HubSpotは、自社や顧客が攻撃による影響を受けた証拠はないと述べていますが、Gainsight連携については調査が完了するまで停止状態を維持するとしています。GTIGのインシデント対応部門であるMandiantは、現在トークン、ログ、コネクター活動に関するフォレンジックレビューを実施中です。

Salesforceの声明と過去の類似事例

Salesforceは、今回の攻撃はSalesforceプラットフォームの脆弱性ではなく、アプリのSalesforceへの外部接続に関連していると改めて表明しました。

Salesforceの顧客は、過去にもサプライチェーン攻撃の標的となっており、昨年8月にはSalesloft Driftとの連携を利用した攻撃がありました。また、10月にはハッカーがSalesloft Drift攻撃を含む複数のキャンペーンで盗んだデータを利用してSalesforceを揺さぶろうとしましたが、Salesforceは要求に応じない姿勢を示しています。

元記事: https://www.cybersecuritydive.com/news/gainsight-applications-hold-salesforce/806277/