サイバーニュース.jp

世界のサイバーなニュースを配信

Salesforce Gainsight侵害:200社以上の顧客データに不正アクセス

カテゴリ:

侵害の概要

Salesforceは、Gainsight連携アプリケーションを悪用した顧客データへの不正アクセスという重大なセキュリティインシデントを公表しました。2025年11月中旬に検出されたこの侵害により、Salesforceと統合された顧客成功プラットフォームを使用する200社以上の組織から機密情報が流出した可能性があります。悪名高いShinyHuntersグループに関連する脅威アクターは、OAuthトークンを悪用し、サードパーティアプリケーション接続を介してSalesforceの顧客インスタンスへの不正アクセスを獲得しました。

Salesforceの緊急対応と調査

2025年11月20日、Salesforceは即座に、Gainsight連携アプリケーションとSalesforceプラットフォーム間のすべての接続を無効化する措置を講じました。同社のセキュリティチームは、アプリケーションの外部接続を介して特定の顧客のSalesforceデータへの不正アクセスを可能にする不審なアクティビティを特定しました。Salesforceは、この問題がSalesforceプラットフォームの脆弱性によるものではなく、サードパーティ連携で使用されるOAuthトークンの侵害に起因するものであることを強調しました。調査の結果、攻撃者は2025年10月23日には偵察活動を開始しており、11月16日から11月19日の間に集中的な不正アクセスが試みられたことが判明しています。サービスが安全に復旧できるとSalesforceが判断するまで、顧客はGainsight連携アプリケーションを再接続できません。同社はすでに、影響を受けたトークンを失効させ、侵害されたアプリケーションをAppExchangeマーケットプレイスから削除する措置を講じています。Google Threat Intelligence GroupとMandiantのセキュリティ研究者がSalesforceと協力し、このキャンペーンの背後にいる脅威アクターを追跡しています。

巧妙な攻撃手法と脅威の指標 (IoC)

攻撃者は、活動を隠蔽するために巧妙な技術を使用し、Mullvad、Surfshark、Proton、Torネットワークなどの複数のVPNサービスを介してトラフィックをルーティングしました。Salesforceは、不正アクセス試行に関連する15の異なるIPアドレスと、「python-requests/2.28.1」や「Salesforce-Multi-Org-Fetcher/1.0」などの正当なGainsightアプリケーションでは使用されない不審なユーザーエージェント文字列を特定しました。攻撃者は、IProxyShop、ProxySeller、NSocksなどの様々なプロキシサービスを利用して、発信元を隠蔽し、検出を回避していました。最も早い兆候の1つは、2025年10月23日にAWSのIPアドレスを介して、侵害されたGainsightアクセス・トークンを持つ顧客に対する偵察活動として現れました。脅威アクターは、キャンペーン全体を通じて異なるVPNプロバイダーとプロキシサービスを切り替えることで、運用上のセキュリティ意識を示しました。この事件は、最近Salesloft Drift連携を標的とした同様の攻撃パターンと酷似しており、攻撃者が信頼されたサードパーティSaaS連携を悪用する傾向が強まっていることを示唆しています。ShinyHuntersとの関連も懸念を増しており、この脅威グループは大手テクノロジー企業を標的とした数々の大規模データ侵害に関与しています。

Indicators of Compromise (IoC):

  • IP Address: 104.3.11.1 (2025-11-08) – AT&T IP偵察
  • IP Address: 198.54.135.148 (2025-11-16) – Mullvad VPNプロキシ
  • IP Address: 198.54.135.197 (2025-11-16) – Mullvad VPNプロキシ
  • IP Address: 198.54.135.205 (2025-11-18) – Mullvad VPNプロキシ
  • IP Address: 146.70.171.216 (2025-11-18) – Mullvad VPNプロキシ
  • IP Address: 169.150.203.245 (2025-11-18) – Surfshark VPNプロキシ
  • IP Address: 172.113.237.48 (2025-11-18) – NSocks VPNプロキシ
  • IP Address: 45.149.173.227 (2025-11-18) – Surfshark VPNプロキシ
  • IP Address: 135.134.96.76 (2025-11-19) – IProxyShop VPNプロキシ
  • IP Address: 65.195.111.21 (2025-11-19) – IProxyShop VPNプロキシ
  • IP Address: 65.195.105.81 (2025-11-19) – Nexx VPNプロキシ
  • IP Address: 65.195.105.153 (2025-11-19) – ProxySeller VPNプロキシ
  • IP Address: 45.66.35.35 (2025-11-19) – Tor VPNプロキシ
  • IP Address: 146.70.174.69 (2025-11-19) – Proton VPNプロキシ
  • IP Address: 82.163.174.83 (2025-11-19) – ProxySeller VPNプロキシ
  • IP Address: 3.239.45.43 (2025-10-23) – AWS IP偵察
  • User Agent: python-requests/2.28.1 (2025-11-08) – 不審なユーザーエージェント
  • User Agent: python-requests/2.32.3 (2025-11-16) – 不審なユーザーエージェント
  • User Agent: python/3.11 aiohttp/3.13.1 (2025-10-23) – 不審なユーザーエージェント
  • User Agent: Salesforce-Multi-Org-Fetcher/1.0 (2025-11-18) – 脅威アクターツール

企業に推奨される対策

SalesforceとGoogleは、クラウドベースのSaaSプラットフォームを利用するすべての組織に対し、接続されているアプリケーションの監査とOAuthトークン権限の見直しを直ちに実施するよう推奨しています。企業は、未使用または不審な統合のトークンを調査して失効させ、異常なアクティビティを検出するための継続的な監視を導入する必要があります。

今後の通知と情報源

影響を受けた可能性のある組織は、SalesforceとMandiantから直接通知を受けることになります。また、継続的な最新情報については、公式のセキュリティアドバイザリを監視することが重要です。

元記事: https://gbhackers.com/hackers-use-salesforce-gainsight-breach/

投稿をさらに読み込む