Palo Alto Networks の Salesforce 環境が侵害:CRM プラットフォーム標的のサプライチェーン攻撃

Palo Alto Networks Confirms Data Breach via Compromised Salesforce Instances

2025/09/02 gbhackers — サイバー・セキュリティ・ベンダー Palo Alto Networks が明らかにしたのは、Salesloft Drift 統合の侵害を通じて、自社の Salesforce 環境が侵害されたことだ。このインシデントは、営業の効率化に広く利用される Salesforce CRM プラットフォームを標的とする、サプライチェーン攻撃の最新事例である。Palo Alto によると、 2025年8月8日~18日に、同社の Salesloft/Drift アプリケーションが侵入を受け、OAuth 認証情報が漏洩したという。Salesloft のトークンの失効処理が行われる前に、それを悪用する脅威アクターが、接続されている Salesforce インスタンス (同社環境を含む) からデータを抽出していた。

Palo Alto は「このインシデントが発覚した直後に、Drift を Salesforce 環境から切断し、Unit 42 セキュリティ・チームが調査を開始した。この調査の結果として判明したのは、侵害は CRM プラットフォームに限定され、Palo Alto Networks の製品やサービスに影響はなく、安全に稼働していることだった」と説明している。

侵害されたデータは、会社の連絡先情報/営業アカウントの詳細/基本的なケース記録などであるという。Palo Alto Networks は、機密性の高いデータが漏洩した顧客は限定的であり、それらのユーザーに対しては、公式サポート・チャネルを通じて通知したと強調している。

さらに同社は、「不明点や追加サポートが必要な場合には、Palo Alto Networks カスタマー・サポートまで問い合わせてほしい」と付け加えている。

Unit 42 の分析によると、この侵害は Salesloft Drift 統合を悪用する、広範なサプライチェーン攻撃活動に関連しているようだ。攻撃者は、Salesforce データベース内の、取引先/連絡先/ケース/商談などのオブジェクトからデータを大量に窃取し、その後に認証情報を探索した。さらに、一連の活動を隠蔽するために、SOQL クエリ・ログを削除したという。

その一方で Salesloft チームは、影響を受けた顧客に通知し、Drift アプリケーションのアクティブなアクセス・トークンとリフレッシュ・トークンを失効させ、影響を受けた管理者に対して再認証を強制したと述べている。

Palo Alto Networks が、Drift 統合を利用する組織に対して強く推奨するのは、Salesloft/Salesforce からの更新を監視し、対応措置を迅速に講じることだ。主な推奨事項は、以下の通りである。

  • ログの確認: 8月8日以降の Salesforce ログイン履歴/監査証跡/API アクセス・ログ/UniqueQuery イベントなどを調査し、疑わしいユーザー・エージェント文字列 (例:”Python/3.11 aiohttp/3.12.15″) や、異常な IP アドレスを確認する。
  • 認証情報のローテーション:Trufflehog/GitLeaks などの自動化ツールを使用して、公開シークレットをスキャンし、侵害された認証情報 (API キーや接続アプリケーショントークンなど) を直ちにローテーションする。
  • ネットワークと IdP の監視:ネットワーク・フロー/プロキシログなどによる分析を実施し、Salesforce への異常接続を確認し、ID プロバイダのログで不正認証を検出する。
  • ゼロトラスト原則の適用:最小権限のアクセスと、条件付きポリシーの導入により、ラテラル・ムーブメントを抑制する。

さらに、チームメンバーに対して推奨されるのは、疑わしいコミュニケーションに注意し、機密データのリクエストに際しては、必ず公式チャネルをもちいることだ。

Palo Alto Networks/Unit 42 は引き続き監視を継続し、状況の変化に応じて脅威概要を更新する予定とのことだ。Salesforce も、顧客へのガイダンスとリソースを提供している。

Palo Alto Networks の Salesforce 環境が、Salesloft の Drift 統合を通じて侵害されたようです。原因となったのは、外部アプリとの統合部分で利用されていた、OAuth 認証情報の漏洩にあり、それが不正利用されました。攻撃者は正規の連携トークンを悪用し、Salesforce 上の取引先や連絡先などのデータにアクセスしていたと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Salesloft で検索も、ご参照ください。