Salesforce OmniStudio の脆弱性が FIX :顧客情報などの漏洩の可能性

Salesforce OmniStudio Vulnerabilities Exposes Sensitive Customer Data in Plain Text

2025/06/11 CyberSecurityNews — Salesforce OmniStudio に発見された深刻なセキュリティ脆弱性は、平文形式で保存された顧客の機密情報への不正アクセスを許すものである。この脆弱性により、世界中の数千の組織に影響を受ける可能性が生じている。この脆弱性は、プラットフォーム内のデジタル・エクスペリエンス管理システム内における、不十分なデータ暗号化プロトコルに起因するものであり、エンタープライズ顧客にとってプライバシー/コンプライアンス上の重大なリスクをもたらす。

この脆弱性は、OmniStudio のデータ処理パイプラインにおける、一連のミスコンフィグに起因する。具体的に言うと、顧客が入力するフィールドやフォームからの送信データが、標準の暗号化メカニズムをバイパスして処理されていたことになる。

高度な攻撃力を必要とする、一般的な情報漏洩とは異なり、この脆弱性は、OmniStudio フレームワーク内の特定の API エンドポイントを標的とする、比較的単純な HTTP リクエストを通じて悪用可能なものである。

特にリスクにさらされているのは、医療/金融サービス/小売業界などの、顧客向けアプリケーションで OmniStudio を使用する企業であり、氏名/住所/社会保障番号/支払い詳細などの個人識別情報が、暗号化されずにアクセス可能な状態にあるという。

この攻撃ベクターは、動的なコンテンツ・レンダリングと、ユーザー・インタラクション・ワークフローを処理する、OmniStudio の FlexCard/OmniScript コンポーネントの脆弱性を突くものだ。

攻撃者は、適切にサニタイズされていない API コールを悪用して、本来は保存時に暗号化されているはずのデータを取得できる。この脆弱性が影響を及ぼす範囲は、2024年1月〜2025年5月の間にリリースされた OmniStudio バージョンである。特に、初期コンフィグ時に管理者が、高度なセキュリティ機能を無効化した実装環境において、深刻な影響が生じるという。

AppOmni のアナリストたちによると、定期的なセキュリティ評価の際に、この脆弱性が発見されたという。その後の調査においても、OmniStudio コンポーネントと外部システム間のデータ通信において、適切な暗号化プロトコルが使用されない事例が、数多く確認されているようだ。

この研究チームが確認したのは、調査対象となった OmniStudio 実装の約 15%に、この脆弱性が存在することだった。そして、自社の顧客データ処理プロセスにおけるセキュリティ上の欠陥を、多くの組織が認識していないことも判明した。

この脆弱性の影響は、単なるデータ漏洩に留まらず、GDPR/CCPA/HIPAA などの規制下でのコンプライアンス違反を引き起こすかもしれない。

特に、OmniStudio を活用するアプリケーションを通じて、機密性の高い個人情報や医療情報を処理している組織には、多額の罰金や評判の失墜に直面する可能性がある。

さらに、平文保存されたデータを足がかりに特権昇格攻撃が行われ、さらなるシステム侵害につながる恐れもある。

攻撃のメカニズム

この脆弱性の根本原因は、OmniStudio のデータ処理アーキテクチャ内における、不適切な Salesforce Shield Platform Encryption の実装にある。

How an OmniScript Saved Session is created (Source – AppOmni)

JSON ベースのデータ・モデルを通じて、OmniScript がユーザー入力を処理する際に、特定のフィールド・タイプでは暗号化レイヤーが完全にバイパスされてしまう。

How an OmniScript Saved Session is resumed (Source – AppOmni)

以下のコード・スニペットは、脆弱なデータ処理パターンを示している:

// Vulnerable OmniScript data processing
var customerData = {
    "firstName": inputData.firstName,
    "ssn": inputData.socialSecurityNumber,
    "creditCard": inputData.paymentInfo
};
// Data stored without encryption validation
dataService.saveRecord(customerData);

この脆弱性が顕在化するのは、認証チェックを回避するように改変されたヘッダーを用いて、特定の OmniStudio エンドポイントを対象とする API リクエストが送信されたときだ。

それにより攻撃者は、セキュリティ監視システムを回避しながら、基盤となる Salesforce データベースから、顧客情報をダイレクトに取得するためのリクエストを構築できる。

Storage of Data Mapper metadata in scale cache after successful execution (Source – AppOmni)

この攻撃手法は、技術的な専門知識をほとんど必要としないため、個人情報窃取や金融詐欺が、広範な攻撃者により引き起こされる恐れがある。

Unauthorized User Executing Data Mapper (Source – AppOmni)

この脆弱性を抱えるバージョンへの、Salesforce からの恒久的なパッチが提供されるまでの間、ユーザー組織にとって必要なことは、直ちに OmniStudio のコンフィグを監査し、包括的な暗号化ポリシーを導入し、情報漏洩のリスクを軽減することである。

Salesforce OmniStudio の平文保存の脆弱性は、設計段階での暗号化の制御の甘さのせいと言えるのでしょうか。特に API コールなどで暗号化がバイパスされる点は、現代のクラウド環境の問題点なのかもしれません。ご利用のチームは、十分に ご注意ください。よろしければ、Salesforce で検索も、ご参照ください。