Cloudflare でも被害が発生:Salesloft + Drift サプライチェーン攻撃の波が止まらない

Cloudflare hit by data breach in Salesloft Drift supply chain attack

2025/09/02 BleepingComputer — 先週に公表された Salesloft Drift サプライチェーン攻撃の一環として、Cloudflare も情報漏洩インシデントの被害を受けた企業となった。9月2日 (火) に Cloudflare は、社内顧客ケース管理とカスタマー・サポートに使用している、Salesforce インスタンスに攻撃者がアクセスしたことを明らかにした。そこには、104 個の Cloudflare API トークンが保持されていたという。

8月23日に情報漏洩の通知を受けた Cloudflare は 、9月2日の時点で影響を受けた顧客に警告を発した。この通知の前に、情報漏洩の際に流出した Cloudflare プラットフォーム発行のトークン 104 個をローテーションさせたが、これらのトークンに関連する、不審な活動はまだ確認されていないという。

Cloudflare は、「これらの漏洩した情報の大半は、顧客の連絡先と基本的なサポート・ケースデータであるが、一部のカスタマーサポートとのインタラクションには、顧客のコンフィグに関する情報が含まれていた可能性がある。そこには、アクセス・トークンなどの機密情報が取り込まれていた恐れがある」と述べている。

Salesforce のサポートケース・データには、Cloudflare のサポート・チケットの内容が含まれるため、サポート・システムを介して顧客が Cloudflare と共有した可能性のある、ログ/トークン/パスワードなどの情報は、すべてが侵害されたものと想定できる。顧客に対して強く推奨されるのは、このチャネルを通じ Cloudflare と共有した可能性のある認証情報を、すべてローテーションすることだ。

同社の調査により判明したのは、8月9日の初期偵察を試行した脅威アクターが、8月12日〜8月17日に Salesforce ケース・オブジェクト内のテキストのみを窃取したことだ。なお、それらのオブジェクトには、顧客サポート・チケットと関連データが含まれるが、添付ファイルは含まれないという。

これらの窃取されたケース・オブジェクトには、以下のテキスト・ベースのデータのみが含まれていた。

  • Salesforce ケースの件名
  • ケース本文:顧客が Cloudflare に提供した情報であり、キーやシークレットなどが含まれる場合がある。
  • 顧客の連絡先情報 : 会社名/依頼者のメールアドレスと電話番号/会社のドメイン名/会社が所在する国名。

Cloudflare は、「このインシデントは単発的なものではなく、認証情報と顧客情報を収集した脅威アクターが、将来の攻撃を意図しているのだろう。この Drift への侵害により、数百の組織が影響を受けたと考えられる。この情報を悪用する脅威アクターは、影響を受けた組織の顧客に対して、標的型の攻撃を仕掛けると考えられる」と付け加えている。

Salesforce データ侵害の波

今年の初めから、ShinyHunters 恐喝グループは、Salesforceの 顧客を標的とするデータ窃盗攻撃を仕掛けてきた。そこで用いられた、ボイスフィッシング (ビッシング) により従業員を騙し、それらの組織の Salesforce インスタンスに、悪意の OAuth アプリをリンクさせてきた。この手法により、攻撃者はデータベースを盗み出し、その後に被害者たちを恐喝している。

2025年6月に、これらの攻撃について Google が初めて報じた。それ以降において、Google だけではなく、Cisco/Qantas/Allianz Life/Farmers Insurance/Workday/Adidas や、LVMH 傘下の Louis Vuitton/Dior/Tiffany & Co などが標的にされてきた。それらの多数のデータ侵害が、ShinyHunters のソーシャル・エンジニアリング戦術に関連付けられている。

一部のセキュリティ研究者は、Salesloft サプライチェーン攻撃には、同一の脅威アクターが関与していると語っている。その一方で Google は、それらを結びつける決定的な証拠を見つけていない。

先週には、Palo Alto Networks も、Salesloft Drift への侵入を仕掛けた攻撃者が、同社の顧客から提供されたサポート・データを盗んだことを確認している。

Palo Alto Networks のインシデントも、Salesforce CRM に限定されており、同社の製品/システム/サービスには影響がなかったという。

この攻撃者は、AWS アクセス・キー (AKIA)/VPN/SSO ログイン文字列/Snowflake トークンに加えて、”secret”/”password”/”key” といった一般的なキーワードなどを盗み出そうとしていると、同社は述べている。それらを悪用することで、他のクラウド・プラットフォームに侵入し、恐喝攻撃のためのデータを盗み出していることを確認したと付け加えている。

このインシデントは、Cloudflare が利用していた Salesforce のサポートケース管理において、認証情報を含むデータが窃取された事例です。原因となったのは、Salesforce インスタンスへの不正アクセスにより、サポートチケット内に保存されていた Cloudflare API トークンや、顧客が共有したログ・パスワード・キーといった機密情報が漏洩してしまった点にあると、この記事は指摘しています。サプライチェーン攻撃が発生してしまうと、なかなか収束しませんね。よろしければ、Salesloft で検索も、ご参照ください。