概要
サイバーセキュリティ研究機関Noma Labsは、SalesforceのAgentforce AIプラットフォームに重大な脆弱性「ForcedLeak」を発見しました。この脆弱性はCVSSスコア9.4と評価されており、巧妙なプロンプトインジェクション技術を悪用することで、攻撃者が機密性の高い顧客データを窃取する可能性を秘めています。
攻撃の手口
「ForcedLeak」の脆弱性は、SalesforceのWeb-to-Lead機能を悪用します。この機能は、見込み客の情報を収集するためによく利用されます。攻撃者は、一見正当に見えるリード情報(例えば、Webフォームの入力)の中に悪意のある指示を埋め込みます。その後、従業員がAIシステムに対してそのデータに関する問い合わせを行うと、AIは侵害されたデータを処理し、意図せず隠された悪意のあるコマンドを実行してしまうのです。
Agentforceは、推論、計画、複雑なビジネス業務の実行が可能な自律型AIエージェントとして機能するため、従来のチャットボットと比較してはるかに広範な攻撃対象領域を持っています。この攻撃は、AIが後で処理するデータに悪意のある指示を埋め込む「間接的なプロンプトインジェクション」という手法を利用しています。
技術的な悪用詳細
研究者らは、Web-to-Leadフォームの「Description」フィールドが、その42,000文字という文字数制限から、複雑な多段階の指示セットを埋め込む最適な注入ポイントであることを特定しました。攻撃は以下の3つの重要な弱点を悪用して成功しました。
- コンテキスト検証の失敗: AIが意図されたドメイン外のリクエストを処理することを許容した。
- 過度に寛容なAIモデルの挙動: 正当なデータと悪意のある指示を区別できなかった。
- コンテンツセキュリティポリシーのバイパス: 有効期限切れのホワイトリスト登録済みドメイン(my-salesforce-cms.com)を悪用した。
特に、有効期限切れのドメインは、信頼されたステータスを維持しながら悪意のある制御下に置かれる可能性があったため、データ流出に決定的な役割を果たしました。
影響と対策
Salesforce AgentforceとWeb-to-Lead機能を使用している組織、特に営業、マーケティング、顧客獲得のワークフローに関わる組織は、重大なリスクに直面しています。悪用が成功した場合、顧客の連絡先情報、営業パイプラインデータ、社内コミュニケーション、過去のやり取りの記録などが漏洩する可能性があります。
Salesforceは2025年7月にこの脆弱性の通知を受け、同年9月にパッチをリリースしました。同社はAgentforceとEinstein AI向けに「Trusted URLs Enforcement」を実装し、信頼できないURLへの出力送信を防止するとともに、有効期限切れのホワイトリストドメインを再保護しました。
組織は、Salesforceが推奨するセキュリティアップデートを直ちに適用し、AgentforceのTrusted URLsを強制する必要があります。追加の保護措置として、既存のリードデータの不審な提出物の監査、厳格な入力検証の実装、信頼できないソースからのデータのサニタイズが挙げられます。
この脆弱性は、AIエージェントが従来のシステムとは根本的に異なるセキュリティ課題を提示し、AI統合ビジネス環境における脅威モデリングとセキュリティ制御への新たなアプローチが必要であることを浮き彫りにしています。