Salesforce alerts users to potential data exposure via Gainsight OAuth apps
2025/11/21 SecurityAffairs — Salesforce が警告するのは、Gainsight にリンクされた OAuth アプリの異常なアクティビティに関する情報であり、これらの連携を悪用する脅威アクターが、一部のユーザーの Salesforce データに不正アクセスした可能性があるとしている。同社が公開した通知には、「Salesforce に接続された Gainsight の公開アプリケーションに関する異常なアクティビティを、我々は確認した。これらのアプリケーションは、ユーザー側が直接インストールし管理している。調査の結果が示すのは、Gainsight アプリ接続におけるアクティビティにより、一部の顧客の Salesforce データへの不正アクセスが生じた可能性である」と記載されている。
Salesforce は、疑わしい外部アクティビティを検出した後に、Gainsight アプリのすべてのトークンを失効させ、このアプリを AppExchange から削除した。ただし、Salesforce のプラットフォームには欠陥が発見されなかったことも確認している。つまり、このアクティビティが関連しているのは、Gainsight アプリから Salesforce へ向けた外部接続である。
Salesforce からの通知には、「このアクティビティを検出した Salesforce は、問題となっている Gainsight 公開アプリケーションに関連付けられた、すべてのアクティブなアクセストークンとリフレッシュトークンを失効させた。また、調査が続く間は、これらのアプリケーションを AppExchange から一時的に削除しました。この問題が Salesforce プラットフォームの脆弱性に起因するという兆候は見当たらない。このアクティビティは、アプリから Salesforce への外部接続に関連していると思われる」と記されている。
すでに Salesforce は、影響を受けた顧客に通知しており、サポートが必要なユーザーは、Salesforce ヘルプへの問い合わせが可能だ。
2025年8月に Salesloft Drift を攻撃した ShinyHunters と、この新たな攻撃キャンペーンが関連していると、Google GTIG は述べている。
DataBreaches.Net が主張するのは、ShinyHunters が2つの攻撃を実施し、約 1,000 の組織からデータを盗んだというものだ。
DataBreaches.Net は、「ShinyHunters と関連グループにより、これまでも Salesforce は標的にされてきた。そのため ShinyHunters に連絡を取り、Gainsight キャンペーンについて尋ねた。それに対して、この脅威グループは犯行を認め、同グループによる Salesforce に対する大規模な攻撃が続くと説明した。次の情報公開には、Salesloft と Gainsight のキャンペーン・データが含まれる予定であり、合計で約 1,000 組織のデータが取り込まれるだろう」と述べている。
ShinyHunters によると、Salesforce が交渉に応じない場合には、別の専用リークサイトを立ち上げる予定だという。
Gainsight が認めているのは、前回の侵害で被害を受けた Salesloft Drift ユーザーの中に、自社が含まれていることだ。ただし、今回の事件との関連性は依然として不明だ。
以前の攻撃におけるハッカーは、Salesforce コンテンツに関連付けられたビジネス連絡先データにアクセスしている。そこに含まれるのは、氏名/勤務先メールアドレス/電話番号/所在地の詳細/ライセンス情報/サポートケース情報などである。
Salesforce 本体の問題ではなく、Gainsight と連携した OAuth アプリ側が弱点になっているようです。つまり、外部アプリに与えられたトークンや接続権限が悪用され、そこから Salesforce データに不正アクセスが生じるという構図なのでしょう。また、ShinyHunters のようなグループが、同じ経路を繰り返して悪用することが懸念されると、この記事は指摘しています。よろしければ、Salesloft での検索結果と、ShinyHunters での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.