Source: https://www.securityweek.com/more-cybersecurity-firms-hit-by-salesforce-salesloft-drift-breach/
🛡 概要
最近のSalesforceとSalesloft Driftに関連する攻撃により、Proofpoint、SpyCloud、Tanium、Tenableなどのサイバーセキュリティ企業が被害を受けました。この攻撃は、Googleの脅威インテリジェンスチームによって2023年8月26日に公表され、攻撃者はUNC6395として特定されました。攻撃者は、Salesloft Driftの統合を利用して、数百の組織に関連する機密情報を盗み出しました。
🔍 技術詳細
攻撃者は、SalesforceのOAuthトークンを不正使用して大量のデータをエクスポートしました。具体的には、AWSアクセスキー、パスワード、Snowflake関連のトークンなど、重要な情報が対象となりました。最初はSalesloft Driftの統合を使用している組織のみに影響を与えると考えられていましたが、その後、他のSalesforceの顧客にも影響が及んでいたことが確認されました。CVEやCVSSに関する情報は現在のところ報告されていませんが、攻撃の影響は700以上の組織に及ぶと推定されています。
⚠ 影響
この攻撃による影響は広範囲に及び、特にサイバーセキュリティ企業にとっては重大な脅威です。Proofpointは、Salesforceテナントへの不正アクセスがあったことを確認し、特定の情報が閲覧されたと報告しています。SpyCloudは、顧客関係管理のフィールドが侵害されたことを明らかにしましたが、消費者データはアクセスされていないとしています。TaniumもSalesloft Driftの統合を通じてデータが侵害されたことを認めていますが、内部システムへのアクセスはなかったとしています。Tenableも同様に、サポートケース情報が侵害されたと発表しましたが、情報の悪用の証拠はないとしています。
🛠 対策
この攻撃に対する対策として、各企業は迅速に対応を行っています。Proofpointは、必要な手続きを行い、セキュリティを強化しました。SpyCloudは、顧客に対してデータが露出したことを通知し、TaniumはSalesforceデータへの不正アクセスを制限することに成功しました。Tenableも、資格情報のローテーションやアプリケーションの削除を行い、システムを保護し、Salesforceインスタンスを監視しています。今後も、これらの企業はさらなる対策を講じ、同様の攻撃からの防御を強化していく必要があります。
