Salesloft Drift Cyberattack Linked to GitHub Compromise and OAuth Token Theft
2025/09/08 CyberSecurityNews — 大手のサイバー・セキュリティ企業を含む、700 以上の組織に影響を与えた高度なサプライチェーン攻撃は、顧客システムからの広範囲なデータ窃取を引き起こすという、近年の SaaS サプライチェーン攻撃の中で最大規模のものと見なされている。この攻撃の流れを遡ると、2025年3月に始まった Salesloft の GitHub アカウントへの不正アクセスにたどり着く。
Salesloft が 2025年9月6日のアップデートにおいて、Mandiant による調査の結果として発表したのは、このイニシャル・アクセスを悪用する脅威アクターが、Drift チャット・プラットフォームから OAuth 認証トークンを盗み出したことだった。それにより、顧客システムからの広範なデータ窃取が引き起こされた。
8月28日に開始された調査で判明したのは、2025年3月〜6月に脅威アクターが、Salesloft の GitHub アカウントにアクセスしていたことだ。
この攻撃者は、プライベートリポジトリからコンテンツをダウンロードし、ゲスト・ユーザーを追加した上で、Salesloft と Drift のアプリケーション環境を偵察しながらワークフローを確立していった。
Salesloft プラットフォーム自体は侵害されなかったが、攻撃者は Drift の AWS 環境を標的とし、顧客サイドでのテクノロジー統合に必要な OAuth トークンを入手した。
Salesloft と Drift へのサイバー攻撃
Google の Threat Intelligence Group により UNC6395 と特定された攻撃者は、8月8日〜18日に盗んだトークンを悪用し、顧客の統合アプリケーションからデータを不正取得したが、その中には Salesforce のインスタンスも含まれる。
盗まれたデータは、主として、メールアドレス/役職などのビジネス連絡先情報/サポートケースの内容だった。この侵害は、Cloudflare/Zscaler/Palo Alto Networks/PagerDuty/SpyCloud などの有名企業に影響を与えた。
Salesloft は Mandiant と連携することで脅威の封じ込めを実施し、Drift プラットフォームの完全なオフライン化/インフラ分離/認証情報の一斉ローテーションを行った。Mandiant はインシデントが封じ込められたこと、そして、Salesloft 環境と Drift 環境のセグメンテーションにより、横方向移動を阻止したことを確認した。
現時点において、この調査はフォレンジック品質の保証レビューへと移行している。Salesloft がパートナー企業に対して推奨するのは、API キー経由で Drift と統合されている、すべてのサードパーティ製アプリケーションの既存キーを失効させることだ。さらに、悪意の IP アドレスやユーザー・エージェント文字列を含む IOC リストを公開し、ログ内の不審アクティビティを、顧客が検出できるようにした。
| Indicator Type | Value/Description |
|---|---|
| Malicious IP Addresses | Any successfully authenticated Drift connections from IPs not on Drift’s official whitelist should be considered suspicious. The following IPs are confirmed as malicious [user-provided text]: – 154.41.95.2 – 176.65.149.100 – 179.43.159.198 – 185.130.47.58 – 185.207.107.130 – 185.220.101.133 – 185.220.101.143 – 185.220.101.164 – 185.220.101.167 – 185.220.101.169 – 185.220.101.180 – 185.220.101.185 – 185.220.101.33 – 192.42.116.179 – 192.42.116.20 – 194.15.36.117 – 195.47.238.178 – 195.47.238.83 – 208.68.36.90 – 44.215.108.109 |
| Malicious User-Agent Strings | The following user-agent strings have been associated with the threat actor’s activity [user-provided text]: – python-requests/2.32.4– Salesforce-Multi-Org-Fetcher/1.0– Python/3.11 aiohttp/3.12.15 |
なお、Scattered LAPSUS$ Hunters 4.0 と名乗るグループが、犯行声明を出しているが、この主張を裏付ける証拠を、捜査当局は確認できていない。
Salesloft の GitHub アカウントへの不正アクセスを起点とした、サプライチェーン攻撃が注目を集めています。Salesloft の GitHub プライベート・リポジトリやゲスト・ユーザー追加を通じて、環境を偵察した攻撃者が、Drift の OAuth トークンを盗み出せた点に原因があります。本来は安全に守られるべき認証情報が、統合環境の管理不備を突かれることで流出しました。その結果として、数多くの大手企業の顧客データに影響が及ぶ事態となりました。よろしければ、Salesloft Drift で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.