Source: https://thehackernews.com/2025/09/salesforce-patches-critical-forcedleak.html
🛡 概要
Salesforce Agentforceにおいて、AIエージェントを構築するプラットフォームに深刻な脆弱性が発見されました。この脆弱性は、間接的なプロンプトインジェクションを通じて、顧客関係管理(CRM)ツールから機密データを流出させる可能性があります。Noma Securityによって発見されたこの脆弱性はForcedLeakと名付けられ、CVSSスコアは9.4に達します。この脆弱性は、Web-to-Lead機能を有効にしているSalesforce Agentforceを使用するすべての組織に影響を及ぼします。
「AIエージェントは従来のプロンプト・レスポンスシステムとは根本的に異なる攻撃面を持つことを示しています」とNomaのセキュリティリサーチリードであるサシ・レビ氏は述べています。
脆弱性の悪用により、攻撃者は機密情報を漏洩し、悪意のあるドメインに送信することができます。
🔍 技術詳細
ForcedLeakは、攻撃者がWeb-to-Leadフォームに悪意のある説明を含むリクエストを送信することで始まります。このリクエストは、内部の従業員によって標準のAIクエリを使用して処理され、Agentforceは合法的な命令と隠された命令の両方を実行します。その後、システムはCRMから敏感なリード情報を照会し、攻撃者が制御するドメインにデータを送信します。この過程では、CSP(コンテンツセキュリティポリシー)のバイパスや、過度に許可されたAIモデルの動作が利用されます。Nomaによると、LLM(大規模言語モデル)は信頼されたソースからのみ実行されるべき悪意のある命令と合法的なデータを区別できず、機密データの漏洩を引き起こしました。
⚠ 影響
この脆弱性により、企業は機密情報が外部に漏洩するリスクにさらされています。特に、攻撃者はわずか5ドルで購入可能な期限切れのドメインを利用することで、データを漏洩させることが可能です。これにより、顧客の信頼を損なうだけでなく、法的な問題や経済的損失を引き起こす可能性もあります。また、この脆弱性は、AIエージェントのセキュリティに関する重要な教訓を提供しており、企業は潜在的な脅威を認識し、適切な対策を講じる必要があります。
🛠 対策
Salesforceは、期限切れのドメインを再取得し、AgentforceとEinstein AIエージェントから不正なURLへの出力を防ぐパッチを展開しました。ユーザーは、Salesforceの推奨アクションに従って信頼されたURLを適用し、異常な指示を含むリードデータを監査することが推奨されます。また、プロンプトインジェクションを検出するための厳格な入力バリデーションを実施し、信頼できないソースからのデータをサニタイズすることも重要です。レビ氏は、「ForcedLeak脆弱性は、AIセキュリティとガバナンスの重要性を強調しています」と述べています。
