はじめに:大規模データ侵害の概要
Googleは、200社以上の企業が利用するSalesforceに保存された顧客データが、大規模なサプライチェーン攻撃によって盗まれたことを確認しました。この攻撃は、カスタマーサポートプラットフォームを提供するGainsightのアプリを介して行われたとされています。
この事件は、Salesforceが「特定の顧客のSalesforceデータ」の侵害を公表した後に明らかになりました。Google脅威インテリジェンスグループのプリンシパル脅威アナリストであるオースティン・ラーセン氏は、Googleが「200以上のSalesforceインスタンスが影響を受けた可能性があることを認識している」と述べています。
ハッキンググループ「Scattered Lapsus$ Hunters」(ShinyHuntersグループを含む)は、Telegramチャンネルでこの攻撃の責任を主張しました。
侵害の詳細と影響企業
Salesforceは、Gainsightが公開したアプリを通じて顧客データが侵害されたことを明らかにしました。Scattered Lapsus$ Huntersは、以下の企業が影響を受けたと主張しています。
- Atlassian
- CrowdStrike
- Docusign
- F5
- GitLab
- Malwarebytes
- SonicWall
- Thomson Reuters
- Verizon
しかし、CrowdStrikeの広報担当者はTechCrunchに対し、「Gainsightの問題の影響を受けておらず、すべての顧客データは安全である」と述べ、ハッカーに情報を渡したとされる「不審な内部関係者」を解雇したことを確認しました。一方、Malwarebytesの広報担当者は、GainsightとSalesforceの問題を認識しており、「積極的に調査している」と述べています。
攻撃の経緯:Salesloft経由の巧妙な手口
ShinyHuntersグループのハッカーたちは、Gainsightへのアクセス方法について、以前にSalesloftの顧客を標的としたハッキングキャンペーンを利用したと説明しています。彼らは、SalesloftのAIチャットボットプラットフォームであるDriftの認証トークンを盗み出し、それを使ってGainsightのSalesforceインスタンスに侵入し、その内容をダウンロードしたと主張しています。
興味深いことに、Gainsight自体も以前のSalesloftへのハッキングキャンペーンの被害者であったことが確認されています。
SalesforceとGainsightの対応
Salesforceの広報担当者は、「この問題がSalesforceプラットフォームの脆弱性から生じたという兆候はない」と強調し、自社プラットフォームの安全性を主張しています。
Gainsightは、Googleのインシデント対応ユニットであるMandiantと協力して調査を進めていることを明らかにしました。同社は、今回の事件が「アプリケーションの外部接続から発生したものであり、Salesforceプラットフォーム内の問題や脆弱性ではない」と発表しています。
予防措置として、SalesforceはGainsight接続アプリのアクティブなアクセストークンを一時的に取り消し、調査を継続しています。
「Scattered Lapsus$ Hunters」の脅威と手口
Scattered Lapsus$ Huntersは、来週までに被害企業を恐喝するための専用ウェブサイトを立ち上げる計画であるとTelegramで述べています。これは、彼らの常套手段であり、10月のSalesloft事件でも同様の恐喝ウェブサイトを公開しています。
このグループは、ShinyHunters、Scattered Spider、Lapsus$など、複数のサイバー犯罪グループで構成されています。彼らは、企業の従業員を騙してシステムやデータベースへのアクセス権を与えるよう仕向けるソーシャルエンジニアリング戦術を駆使することで知られています。過去には、MGM Resorts、Coinbase、DoorDashなど、数々の著名な企業が彼らの被害に遭っています。