Zscaler の顧客情報が侵害された：Salesloft の脆弱性に関連するインシデントが止まらない

Zscaler data breach exposes customer info after Salesloft Drift compromise

2025/09/01 BleepingComputer — サイバー・セキュリティ企業 Zscaler が発したのは、Salesforce インスタンスにアクセスした脅威アクターが、サポート・ケースの内容を含む顧客情報を盗み出すという、同社が受けた侵害に関する警告である。この問題は、Salesforce に統合された Salesloft と Drift への侵害に起因する。攻撃者は OAuth トークンとリフレッシュ・トークンを盗み出し、顧客の Salesforce と Drift の環境にアクセスして機密データを窃取した。Zscaler はアドバイザリにおいて、このサプライチェーン攻撃により Salesforce インスタンスが影響を受け、同社の顧客情報が漏洩したと述べている。

Zscaler のアドバイザリには、「この攻撃の一環として、脅威アクターが Salesloft の認証情報にアクセスしたが、その中には Zscaler の顧客も含まれる。継続中の調査において詳細なレビューを実施した結果、これらの認証情報を用いることで、限定的ではあるが、Salesforce に保持される Zscaler 情報の一部にアクセスできることが判明した」と記載されている。

漏洩した情報には以下が含まれる。

氏名
会社用メールアドレス
役職
電話番号
地域／所在地の詳細
Zscaler 製品のライセンスおよび商用情報
特定のサポート・ケースの内容

Zscaler が強調するのは、今回のデータ侵害の影響は Salesforce インスタンスのみに限定されるものであり、Zscaler のプロダクト／サービス／インフラには問題が生じていないことだ。

また、現時点においては、それらの情報の不正使用は検出されていないが、それを悪用するフィッシング攻撃やソーシャル・エンジニアリング攻撃の可能性があるため、顧客は警戒を続けるよう推奨している。

さらに同社は、Salesforce インスタンスへの Salesloft と Drift の統合を削除し、その他の API トークンをローテーションし、インシデント調査を継続していくと述べている。

Zscaler が強化するのは、カスタマー・サポートへの問い合わせ時の顧客認証プロトコルであり、それによりソーシャル・エンジニアリング攻撃に対抗するとしている。

その一方で、先週に Google Threat Intelligence が発したのは、この攻撃の背後にいる脅威アクター UNC6395 がサポート・ケースを盗み出し、顧客がサポートをリクエストする際に、認証トークン／パスワード／シークレットの収集を試行していることを伝える警告である。

Google TIG は、「Amazon Web Services (AWS) の Access Key (AKIA) とパスワードや、Snowflake に関連するアクセス・トークンといった機密認証情報が、UNC6395 の標的になっていることを確認した。UNC6395 は、クエリ・ジョブを削除することで、運用上のセキュリティ意識を示しているが、ログへの影響はなかった。ユーザー組織にとって必要なことは、引き続き関連ログを確認し、データ漏洩の証拠を探すことだ」と報告している。

その後に明らかになったことは、Salesloft に関連するサプライチェーン攻撃は、Drift との統合だけに影響を与えるものではないことだ。メール返信や CRMの管理、および、マーケティング自動化データベースの整理に使用される、Drift Email にも影響が生じている。

先週に Google が警告したものには、この侵害で盗まれた OAuth トークンを悪用する攻撃者が、Google Workspace のメール・アカウントに不正アクセスし、メールを閲覧したことも含まれる。Google と Salesforce は、調査が完了するまで、Drift 統合を一時的に無効化している。

Salesloft と Drift への侵害は、最近の ShinyHunters 恐喝グループによる Salesforce データ窃盗攻撃と重なるようだと、一部の研究者たちは BleepingComputer に対して述べている。今年の初めから脅威アクターたちは、Salesforce インスタンスに侵入し、ソーシャル・エンジニアリング攻撃を仕掛け、データのダウンロードを試行している。

これらの攻撃では、音声フィッシング (ビッシング) を実施する攻撃者が従業員を騙して、悪意の OAuth アプリを Salesforce インスタンスにリンクさせていた。いったんリンクが確立されると、その接続を悪用する脅威アクターは、データベースをダウンロード／窃取し、それをメールによる脅迫に用いていた。

Google が攻撃を報告した 2025年6月以降においても、Cisco／Farmers Insurance／Workday／Adidas／Qantas／Allianz Life に加えて、LVMH 傘下の Louis Vuitton／Dior／Tiffany & Co などの大手へのデータ侵害が、このソーシャル・エンジニアリング攻撃と関連付けられている。

Zscaler の Salesforce インスタンスに、情報漏洩が発生しました。その原因となったのは、Salesforce と統合された Salesloft と Drift AI チャット・エージェントへの侵害です。この統合から、OAuth トークンやリフレッシュ・トークンを盗み出した攻撃者は、それらを悪用することで、Salesforce 内部の顧客データにアクセスしたと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Salesloft で検索も、ご参照ください。