Hackers Abuse Compromised OAuth Tokens to Access and Steal Salesforce Corporate Data
2025/08/27 gbhackers — Google Threat Intelligence Group (GTIG) が発表したのは、Drift 統合を介した Salesforce インスタンスを標的とする、広範なデータ窃取作戦に関するアドバイザリである。2025年8月8日以降において脅威アクター UNC6395 は、Salesloft Drift アプリに関連付けられた有効なアクセス/リフレッシュ・トークンを悪用し、認証済みの接続アプリユーザーとして不正な接続を行っていた。さらに、大規模な SOQL クエリを実行し、Accounts/Opportunities/Users/Cases など主要な Salesforce オブジェクトから、レコードをエクスポートしていた。
それらのレコードを取得した UNC6395 は、窃取データ内で AWS Access Key (AKIA)/Password/Snowflake Token などの機密情報を検索するためのインプレース検索を行った。脅威アクターは、検出回避のためにクエリ・ジョブを削除したが、Salesforce イベント・ログが残存していたことで、ユーザー組織によるアクティビティ追跡は可能だった。
Salesloft チームが明言しているのは、この問題の影響が及ぶ範囲は、Drift を介して Salesforce と統合している顧客だけという点であり、Google Cloud の顧客には既知のリスクは存在しないとしている。ただし Drift を利用するユーザー組織は、Salesforce オブジェクトに、シークレットが含まれていないことを確認する必要がある。その対象としては、Google Cloud Platform のサービス・アカウント・キーなどが含まれる。
脅威アクターの戦術とクエリ
UNC6395 が示しているのは、ステルス性を維持しながら、監査証跡を消去するなどの、高度な運用意識である。GTIG によると、詳細なエクスポートに進む前に、以下のような SOQL カウント・クエリを、UNC6395 は定期的に実行していたという。
| SOQL Query | Purpose |
| SELECT COUNT() FROM Account; | Gauge total Account records |
| SELECT COUNT() FROM Opportunity; | Gauge total Opportunity records |
| SELECT COUNT() FROM User; | Gauge total active Users |
| SELECT COUNT() FROM Case; | Gauge total Case records |
| Detailed User export with 20 records | Harvest user metadata |
| Case export limited to 10,000 records | Harvest case records for analysis |
さらに、ユーザー・メタデータの収集や、ケース・レコードを 10,000 件に制限するエクスポートなどにより、段階的に詳細を取得しながら、シークレット収集効率を高める運用が実施されていた。
調整と修復手順
2025年8月20日の時点で Salesloft と Salesforce は、すべての有効な Drift トークンを失効させ、このアプリを AppExchange から削除した。つまり、このインシデントは Salesforce コア・プラットフォームに起因するものではない。
また、GTIG/Salesloft/Salesforce からは、影響を受けたユーザー組織に対して通知が行われた。それらの通知を受けた顧客は、Salesforce データが侵害されたと見なし、以下の項目を速やかに実施すべきである。
- 認証情報のローテーションと失効:公開された API キーの失効/AWS と Snowflake の認証情報のローテーション/ユーザー・パスワードのリセット。
- シークレットの調査とスキャン:イベント・モニタリング・ログを確認して、Drift 接続アプリの異常なアクティビティを調査する。Tor 出口ノード IP や、カスタム User-Agent などの IoC を検索する。Salesforce オブジェクトで “AKIA”/”snowflakecomputing.com”/”password” などのキーワードをスキャンし、Trufflehog などのツールでハードコード・シークレットを検出する。
- 接続アプリケーション制御の強化:Drift 接続アプリに対して、最小権限のスコープ適用/IP 制限によるログイン範囲設定/セッションタイムアウト制御を強化する。また、広範なプロファイルから “API Enabled” 権限を削除し、それらの権限セットを承認ユーザーだけに付与する。
追加のガイダンスと最新の情報については、Salesloft Trust Center および Salesforce アドバイザリ・ページで確認できる。UNC6395 がもたらすリスクを軽減するためには、継続的な監視と迅速な認証情報のローテーションが、引き続き重要となる。
Salesforce と Drift の統合アプリを経由して行われたデータ窃取について、Google Threat Intelligence Group (GTIG) がアドバイザリを提供している。
この問題の原因は、アプリに関連付けられた、有効なアクセス/リフレッシュ・トークンが攻撃者に悪用された点にあります。それにより攻撃者は、正規ユーザーとして接続を達成し、SOQL クエリを用いて多数のレコードを不正にエクスポートしました。特に問題となったのは、Salesforce 内に格納された認証情報やシークレットだと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Salesforce で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.