マスターキー問題：Salesloftの侵害と継続的な脅威の内幕

2025 年 9 月、 FBI は 2 つの犯罪グループ (UNC6395 と UNC6040) がさまざまな業界の Salesforce インスタンスを積極的に侵害していると警告するフラッシュアラートを発表しました。

UNC6395 は、Salesforce に深くリンクされたセールスエンゲージメント ツールである Salesloft に侵入し、その信頼できる接続を介して Salesforce データにアクセスしました。一方、UNC6040 は、Salesforce ユーザーを直接ターゲットにした別のフィッシング キャンペーンを実行します。

UNC6395 キャンペーンは明確な警告を発しています。攻撃者は、Salesforce が信頼するシステムを乗っ取ることができるため、Salesforce 自体に侵入する必要はなくなりました。この記事では、UNC6395 が Salesloft と Salesforce 間の信頼できる統合をどのように悪用したか、そしてそれが現代のサプライチェーンのリスクについて何を示唆しているかを解説します。

UNC6395の影響を受ける組織の数 世界中に700社以上あり、 Zscaler 、 Palo Alto Networks 、 Proofpoint 、 Cloudflare 、 Tenableなどのサイバーセキュリティ企業が含まれます。  

UNC6395の活動がどこまで広がっているのか、あるいは機密情報がどれだけ残っているのかは依然として不明だ。  

盗まれた Salesforce データが現在、恐喝の試みを助長していることはわかっています。脅威グループが、顧客記録がオンライン上に公開された企業に身代金を要求するデータ漏洩サイトを立ち上げた。Salesforce は恐喝要求には応じないと公言している。

これらの新たな漏洩サイトの主張が UNC6395 の活動に直接起因するものかどうかは不明ですが、1 つの事実は明らかです。認証情報が盗まれると、それによってロックが解除された記録が繰り返し再び表面化する可能性があるということです。

「パスワードの時代から証明書の時代まで、最大の疑問は常に『鍵の完全性をどのように管理し、維持するか』でした」と、Illumioのシステムエンジニアリングディレクター、マイケル・アジェイ氏は語る。「その問題は消えたわけではなく、相互につながった世界ではより大きくなるばかりです。」

信頼できる鍵が王国の扉を開くとき

UNC6395 の武器は、 Salesloft 統合 (通話、メール、チャットを Salesforce に同期するセールス エンゲージメント プラットフォーム) から盗まれた OAuth トークン(具体的には、 Drift チャットボット接続経由) でした。

攻撃者はこれらのトークンを使用して、Salesforce やその他のリンクされた環境への信頼できる API レベルのアクセスを取得し、密かにデータを照会し、連絡先、ケース、さらには AWS キー、VPN シークレット、 Snowflake トークンなどの認証情報を盗み出しました。

Google は現在 、Drift が発行したすべてのトークンを 侵害されたものとして扱うよう 勧告しています 。

境界はもはやファイアウォールではない

統合がロックで、OAuth トークンが鍵だとすると、その鍵が悪意のある人物の手に渡るとどうなるでしょうか?

現代の企業は緊密に接続されたシステムに依存しています。1 つの統合が侵害されると、他の統合もすぐに公開される可能性があります。

CRM 接続で 1 回でも侵害が発生すると、顧客データ、サポート ケース、生産性向上ツールに保存されているファイルが公開される可能性があります。メモやチケットに残された認証情報と API キーを使用して、クラウド環境へのアクセスが可能になります。

ほとんどのエンタープライズ スタックは、CRM、エンゲージメント プラットフォーム、チャット ツール、クラウド ストレージをリンクします。接続するたびに効率は向上しますが、攻撃者が利用できるパスも広がります。

トークンが盗まれると、攻撃者は事実上正当な統合になり、MFA、監査ログ、パスワードのリセットを完全に回避します。

OAuthトークンがゴールドである理由

OAuth トークンは、設計上、委任されたアクセスを許可します。しかし、その同じ設計が弱点を生み出します。それは、一度信頼を与えると、それが取り消されることがほとんどないということです。

「長寿命トークンは、従業員、ベンダー、あるいはそれを作成したツールよりも長く存続することが多く、システム全体に目に見えない扉を開いたままにします」とアジェイ氏は述べた。

正常に見えるAPI呼び出し

マルウェアは騒々しいが、API 呼び出しは静かである。

この侵害では、攻撃者は明白な場所に隠れ、正当な操作を模倣したSOQL および Bulk API クエリを発行しました。

「API は色付きの窓が付いた車のようなもので、人々は車内にあなたが乗っていると想定します」と Adjei 氏は言います。「そうでないと知る唯一の方法は、ドアを開けることです。」

これらのリクエストは有効な統合からのものであるため、システムはそれらを無害なものとして扱いました。これにより、攻撃者の行動が通常のビジネス活動に溶け込むため、検出が困難になります。

「多くの組織は、使用されているアプリケーションや統合のすべてを把握していません」と Adjei 氏は付け加えました。「トークンは何年も前に設定され、一度もローテーションされなかった可能性があります。シャドーITと長期アクセスの組み合わせにより、露出が数か月続く可能性があります。」

SolarWindsからSalesloftへ

攻撃者がソフトウェア更新に悪意のあるコードを忍び込ませた SolarWinds とは異なり、UNC6395 ではマルウェアを 1 行も記述する必要はありませんでした。むしろ、彼らは信頼そのものを悪用したのです。

「SolarWinds は目覚めをもたらしました」と Adjei 氏は語ります。「これは、最も弱い部分である、高度に統合されたベンダーをターゲットにすることの有効性を証明しました。それを侵害すれば、一度に多くの組織にアクセスできるようになります。」

SolarWinds のようなコードベースのサプライチェーン攻撃からトークンベースの攻撃への移行は、パラダイムシフトを示しています。つまり、キーがすでに存在する場合は、マルウェアを使用して侵入する必要がなくなります。

侵入の背後にいるのは誰か

脅威インテリジェンス分析により、金銭目的のサイバー犯罪者によるUNC6395への初期アクセスが追跡されます。このグループがShinyHuntersのSalesforceへの注力と重複していることを指摘する人もいますが、UNC6395とShinyHuntersの関係は確認されていません。

ShinyHunters は、UNC6395 の活動と重なる、またはそこから利益を得ている可能性のある、より広範なデータブローカーおよびサイバー犯罪集団ですが、その帰属は確定していません。

現在、 Scattered Lapsus$ Huntersは、Salesloftからデータを失ったと主張するさらに数百の組織からまもなく恐喝を開始すると主張しています。Salesforce は、ShinyHunters によって盗まれたとされるサードパーティの Salesloft データの盗難は、Salesforce コア プラットフォームの脆弱性から発生したものではないことを強調しました。

爆発半径を縮小する方法

結局のところ、侵害はもはや「かもしれない」という問題ではなく、攻撃者がどこまでできるかという問題なのです。

「可視性とコンテキストにより、突然の大規模なデータ転送、異常、過剰なアクセスなど、動作の変化を確認できます」とアジェイ氏は述べています。「しかし、可視性は、それに基づいて行動した場合にのみ価値があります。」

紛失したキーの影響を軽減するには:

• 最小限の権限を適用します。必要以上に広い範囲を与えないでください。
• トークンを定期的にローテーションし、取り消します。
• 接続されているすべてのアプリ、すべての統合を監査します。
• 異常な API トラフィックと異常なトークンの使用に合わせて調整された継続的な監視を展開します。

Illumio Insightsがどのように役立つか

UNC6395 のような攻撃者は、何百もの組織に侵入するためにマルウェアを必要としませんでした。彼らは単に目に見えない信頼の経路をたどっただけです。Illumio Insights はそれらの道筋に光を当てます。  

環境全体のシステム間通信をマッピングすることで、Insights は、どのアプリケーションが相互に通信しているか、どのくらいの頻度で通信しているか、いつ異常が発生しているかを明らかにすることができます。侵害された OAuth トークンが予期しない方法でデータを移動し始めた場合、Insights はチームがそれを検出し、拡散する前に封じ込めるのに役立ちます。

主な機能は次のとおりです。

• 横方向の移動の検出: 環境内を移動する攻撃者を発見するには、システム間通信の可視性が不可欠です。
• 行動に基づく脅威の検出: ネイティブ ツールの異常な使用を識別する分析により、通常の操作に紛れ込むアクティビティを明らかにすることができます。  
• アラートの優先順位付け: 攻撃者が信頼できるプロセスを使用する場合、日常的な動作を除外し、疑わしいパターンを強調表示することが重要です。  
• 迅速な封じ込め: マルウェアの署名を待たずに、侵害された資産を迅速に隔離する機能により、脅威が広がる前に阻止できます。

侵害がコードではなく信頼を悪用する世界において、Illumio Insights は防御側が必要とする可視性と即時の制御をリアルタイムで提供します。

Salesloft の侵入は、攻撃者が城の壁を爆破する必要はなく、機能する鍵さえあればよいことを教えてくれます。  

キーが利用可能になると、セキュリティ体制は誰がキーを保持しているか、そしてそのキーの不正使用をいかに早く阻止できるかに左右されます。

Illumio Insights が脅威が広がる前にどのように特定し、阻止するかをご覧ください。のパワーを体験してください Illumio Insights 14日間無料.