RSS クラウド ブログ
フォロー
SalesforceインスタンスがSalesloft Drift経由で広範なデータ窃盗の標的に
Google Threat Intelligence Group(GTIG)は、UNC6395という攻撃者による大規模なデータ窃盗キャンペーンに関する勧告を発表しました。2025年8月8日から8月18日まで活動していたこのキャンペーンは、Salesforceの顧客インスタンスを標的としていました。UNC6395は、Salesloft Driftというサードパーティアプリケーションに関連する侵害されたOAuthトークンを悪用しました。攻撃者は、主に認証情報を収集することを目的として、大量のデータを体系的にエクスポートしました。具体的には、UNC6395はAWSアクセスキー、パスワード、Snowflakeトークンなどの機密情報を検索しました。UNC6395はクエリジョブを削除して痕跡を隠蔽しようとしましたが、ログはフォレンジック分析のために利用可能です。SalesloftはDriftアプリケーションのすべてのアクティブなトークンを取り消し、Salesforce AppExchangeから削除しました。このインシデントは、Salesforceのコアプラットフォーム内の脆弱性に起因するものではありません。GTIGは、SalesforceとDriftを使用している組織に対して、データが侵害された可能性を考慮し、直ちに是正措置を講じることを推奨しています。これらの措置には、発見されたシークレットの検索とローテーション、パスワードのリセット、および接続されているアプリケーションへのアクセス制御の強化が含まれます。