SalesforceがGainsight関連の不正活動を調査
Salesforceは、顧客を標的とした新たなデータ盗難攻撃の波を調査しており、その一環としてGainsightが公開するアプリケーションに関連するリフレッシュトークンを失効させました。同社は、今回の事案が自社の顧客関係管理(CRM)プラットフォームの脆弱性から生じたものではなく、GainsightアプリのSalesforceへの外部接続に関連する悪意のある活動が原因であるとの見解を示しています。
Salesforceは木曜朝の声明で、「Salesforceは、顧客によってインストールおよび管理されている、Salesforceに接続されたGainsight公開アプリケーションに関わる異常な活動を特定しました。我々の調査では、この活動がアプリの接続を通じて特定の顧客のSalesforceデータへの不正アクセスを可能にした可能性があることを示唆しています」と述べました。また、「活動を検知後、SalesforceはGainsight公開アプリケーションに関連するすべてのアクティブなアクセスおよびリフレッシュトークンを失効させ、調査が続く間、これらのアプリケーションをAppExchangeから一時的に削除しました」と付け加えています。
影響を受けた顧客への通知とSalesloft侵害との関連性
Salesforceは、今回の事態の影響を受けたすべての顧客に通知し、さらなる支援が必要な場合はSalesforce Helpチームに連絡するよう促しています。
このインシデントは、2025年8月に発生したSalesloftの侵害と類似しています。当時、「Scattered Lapsus$ Hunters」として知られる恐喝グループは、SalesloftのDrift AIチャット統合に対する盗まれたOAuthトークンを利用して、パスワード、AWSアクセスキー、Snowflakeトークンを含む顧客の機密情報をSalesforceインスタンスから盗み出しました。当時、ShinyHunters恐喝グループはBleepingComputerに対し、Salesloftデータ盗難攻撃が約760社に影響を与え、15億件のSalesforceレコードが盗まれたと語っています。
ShinyHuntersがGainsightを介した新たな侵入を主張
当時Salesloft攻撃で影響を受けたとされる企業には、Google、Cloudflare、Rubrik、Elastic、Proofpoint、JFrog、Zscaler、Tenable、Palo Alto Networks、CyberArk、BeyondTrust、Nutanix、Qualys、Cato Networksなどが含まれていました。
本日、BleepingComputerとのやり取りの中で、ShinyHuntersは、Salesloft Drift侵害で盗まれたシークレットを介してGainsightを侵害した後、さらに285件のSalesforceインスタンスにアクセスしたと主張しています。Gainsightは以前、Salesloft Driftに関連する盗まれたOAuthトークンを介して侵害されたことを確認しており、攻撃者が氏名、ビジネスメールアドレス、電話番号、地域/所在地情報、ライセンス情報、サポートケースの内容などのビジネス連絡先詳細にアクセスしたと述べています。
BleepingComputerは、Gainsightアプリケーションに関連するデータ盗難攻撃についてGainsightに問い合わせましたが、現時点では返答は得られていません。