アフィリエイトリンクまたはスポンサーシップを通じて、ベンダーから収益を得る場合があります。これにより、サイト上の商品配置が影響を受ける可能性がありますが、レビューの内容には影響しません。詳細は利用規約をご覧ください。
Google Threat Intelligence Group は、Salesloft Drift 経由で Salesforce の顧客データを盗んだ脅威アクターに関する調査結果を共有しました。
これまで特定されていなかった脅威アクター「UNC6395」が、Salesforceの顧客データを漏洩させた最近の侵害キャンペーンに関連していることが判明しました。8月上旬から中旬にかけて発生したこの活動は、Salesloft Drift統合を通じて発行されたOAuthトークンの不正使用に関与していました。
Google Threat Intelligence Group (GTIG) は8月26日の投稿で脅威の主体を特定し、「広範囲にわたるデータ盗難」は2025年8月8日には早くも始まり、少なくとも2025年8月18日まで続いたと指摘した。
1ノルドレイヤー
企業規模
企業規模ごとの従業員数
マイクロ(0~49)、スモール(50~249)、ミディアム(250~999)、ラージ(1,000~4,999)、エンタープライズ(5,000以上)
小規模(従業員50~249名)、中規模(従業員250~999名)、大規模(従業員1,000~4,999名)、エンタープライズ(従業員5,000名以上) 小規模、中規模、大規模、エンタープライズ
特徴
ファイアウォール
2セムペリス
企業規模
企業規模ごとの従業員数
マイクロ(0~49)、スモール(50~249)、ミディアム(250~999)、ラージ(1,000~4,999)、エンタープライズ(5,000以上)
小規模(従業員50~249名)、中規模(従業員250~999名)、大規模(従業員1,000~4,999名)、エンタープライズ(従業員5,000名以上) 小規模、中規模、大規模、エンタープライズ
特徴
高度な攻撃検出、高度な自動化、どこからでも復旧など
3 ManageEngine AD360
企業規模
企業規模ごとの従業員数
マイクロ(0~49)、スモール(50~249)、ミディアム(250~999)、ラージ(1,000~4,999)、エンタープライズ(5,000以上)
あらゆる規模の企業 あらゆる規模の企業
特徴
アクセス管理、Active Directory管理、アクティビティダッシュボードなど
脅威を理解する
UNC6395は、標的型データベースクエリを用いて、ユーザーの個人情報、アカウントプロファイル、ケースログ、その他の機密情報を含むレコードを抽出しました。データを取得した後、同グループはその結果をエクスポートし、ログイン認証情報とクラウドアクセスキーを収集しようとしたとみられます。
Salesloftによると、Salesforceとまだ連携していないユーザーは今回の攻撃の影響を受けていないとのことです。SalesloftとSalesforceは共同で、Driftに関連する有効なアクセストークンとリフレッシュトークンを失効させました。また、調査が継続中であるため、アプリはSalesforce AppExchangeから削除されました。
システムが侵害されているかどうかを判断する
GTIGは、最近の攻撃に関連する既知の侵害指標(IOC)のリストを公開しました。これには以下が含まれます。
- ユーザーエージェント文字列: Salesforce-Multi-Org-Fetcher/1.0、Salesforce-CLI/1.0、python-requests/2.32.4、および Python/3.11 aiohttp/3.12.15。
- IPアドレス: 208.68.36.90, 44.215.108.109, 154.41.95.2, 176.65.149.100, 179.43.159.198, 185.130.47.58, 185.207.107.130, 185.220.101.133, 185.220.101.143, 185.220.101.164, 185.220.101.167, 185.220.101.169, 185.220.101.180, 185.220.101.185, 185.220.101.33、192.42.116.179、192.42.116.20、194.15.36.117、195.47.238.178、および 195.47.238.83。
ログ内のこれらの IOC と一致する場合は、侵害を示している可能性があるため、直ちに調査する必要があります。
システムの保護
システムが侵害されたと思われる場合、または UNC6395 からシステムを積極的に保護したい場合は、GTIG からの次の推奨事項を検討してください。
- Salesforce と Salesloft 内のログを確認します。
- ユーザーのパスワードをリセットし、不明なキーを取り消します。
- IP 制限を適用し、ログイン IP 範囲を定義することで、アクセス制御と権限を強化します。
- システムが侵害された疑いがある場合は、Salesforce サポートにケースを開いてください。
これらの推奨事項はすべて、侵害されているかどうかに関係なく、UNC6395 やその他の同様の脅威からシステムを保護するのに大いに役立ちます。
UNC6395やその他の脅威アクターの先を行く
UNC6395によるOAuthトークンの悪用は、攻撃者が信頼できる認証メカニズムを悪用していかに容易に現代のサイバー防御を回避できるかを示しています。組織がOAuthトークンのセキュリティを最優先事項として扱うほど、UNC6395のような攻撃者が悪用しようと躍起になる脅威を早期に封じることができます。
サイバーセキュリティの専門家を夜も眠れなくさせているものは何でしょうか?TechnologyAdviceのマット・ゴンザレスがBlack Hat 2025からその疑問への答えを報告しました。
