Elastic がセキュリティ・インシデントを公表:Salesloft Drift に起因する情報漏洩を確認

Elastic Security Incident – Hackers Accessed Email Account Contains Valid Credentials

2025/09/09 CyberSecurityNews — Elastic が公表したのは、Salesloft Drift におけるサードパーティの情報漏洩に起因するセキュリティ・インシデントである。このインシデントにより、社内メールアカウントへの不正アクセスが発生し、その中には有効な認証情報も含まれるという。なお、同社のコアとなる Salesforce 環境には影響はなかったが、一部のメールに含まれる機密情報が漏洩したとされる。

一連の事象は 2025年8月26日に、同社のプラットフォームに影響を及ぼす、Salesloft Drift のセキュリティ・インシデントが公表されたときに始まった。その後に、Google の Threat Intelligence Group が発表した詳細レポートで、この侵害に関連する脅威アクターの活動が明らかになった。

特定の業務アプリケーションで Drift を利用する Elastic は、潜在的な影響を事前に調査するために、インシデント対応プロトコルを発動したが、直接の影響を受けたという通知はなかった。そのため、同社のセキュリティ・チームは直ちに調査を開始し、自社/顧客のデータの漏洩について確認するための作業に入った。

影響の範囲

Elastic の調査により、Salesforce 環境は侵害を受けていないことが確認された。しかし、チームが発見したのは、Drift Email 統合を通じて1つのメール・アカウントが漏洩していたことだ。この漏洩により、特定の受信トレイに届いたメールへの読み取り専用アクセスを、攻撃者が取得した可能性があるという。

受信トレイの内容をスキャンした結果として、いくつかの有効な認証情報を含む可能性のある受信メールが特定された。この発見を受け、Elastic は既存のサポート・チャネルを通じて、影響を受ける可能性のある顧客に通知した。また、直接に通知を受けていない顧客は、この認証情報の漏洩の影響を受けていないと、Elastic は公表している。

Elastic の情報セキュリティ・チームは、Drift のインシデントを把握した直後から、脅威の封じ込めと被害評価に向けた措置を講じた。続いて、チームは包括的な調査を開始し、アクセスログ/ネットワーク活動/システム構成などを精査して、データ漏洩の範囲を特定した。 

重要な第一歩として、Elastic 環境内の全 Drift 統合を無効化し、侵害されたサードパーティ・プラットフォームによるリスクを排除した。それと同時に、このチームは侵害の兆候 (IOC) に関するオープンソース・インテリジェンスを監視し、Drift のセキュリティ・チームと連携して追加情報を収集した。

Elastic は、透明性と顧客データ保護への取り組みを再確認しており、同社のチームは本件に関連する新たな情報を引き続き監視している。

被害が確認された企業

このサプライチェーン攻撃の被害者として確認されているのは以下の企業である。

  • Dynatrace:Salesloft Drift アプリケーションを起点とした、サードパーティによるデータ侵害の影響を受け、Salesforce CRM に保存されている顧客のビジネス連絡先情報への不正アクセスを確認。
  • Palo Alto Networks:CRM プラットフォームから、ビジネス連絡先情報と社内販売データが漏洩したことを確認。
  • Zscaler:顧客情報 (氏名/連絡先/サポートケースの内容など) へアクセスされたことを報告。
  • Google:侵害されたトークンを通じて、ごく少数の Workspace アカウントがアクセスされたことを確認。
  • Cloudflare:高度な攻撃者による、Salesforce インスタンスからの顧客データ情報漏洩を確認。
  • PagerDuty:Salesforce に保存されているデータの一部への、不正アクセスを確認。
  • Tenable:一部顧客の連絡先情報とサポートケース情報の漏洩を確認。
  • Qualys:Salesloft Drift マーケティング・プラットフォームを標的とした、広範なサプライチェーン攻撃の影響を受け、Salesforce データの一部への不正アクセスが発生。

Elastic が利用していた Salesloft と Drift から情報漏洩が発生し、それが原因となり、 同社内のメール・アカウントに不正アクセスが起きたとのことです。問題の要因は、Drift の統合機能を通じて攻撃者に読み取り専用のアクセスが与えられてしまった点です。その結果として、受信メールの中に含まれていた有効な認証情報が漏洩した可能性が指摘されています。よろしければ、Salesloft で検索も、ご参照ください。