Salesforce Marketing Cloud の複数の脆弱性が FIX：プライベート・メール・データが露出

Salesforce Marketing Cloud Vulnerability Opened Door to Email Data Exposure

2026/05/06 CyberSecurityNews — Salesforce Marketing Cloud (SFMC) に発生した一連の深刻なセキュリティ脆弱性は、数百の組織にまたがる数百万のユーザーの、プライベートなメール・データの読み取り／露出を、攻撃者に許す可能性があるものだった。すでに、これらの脆弱性は修正済みであるが、その根本的な原因は、プラットフォームに組み込まれたスクリプト機能と、適切に廃止されなかった数十年前の暗号化手法にある。

最悪のケースを想定すると、これらの脆弱性を悪用する攻撃者は、プラットフォーム全体における任意の企業が送信した、すべてのメールを密かに読み取ることが可能な状況にあった。

Salesforce Marketing Cloud (旧 ExactTarget) は、世界で最も広く利用されているメール・マーケティング・プラットフォームの一つである。航空／金融／エネルギー／テクノロジーといった、主要な業界における企業の大規模メール配信を支えている。

Fortune 500 企業に広く導入されていることから、大量の顧客データを一度に取得しようとする攻撃者にとって、きわめて価値の高い標的となる。

Searchlight Cyber の研究者たちが報告した脆弱性は、テンプレート・インジェクションの欠陥と、メール閲覧リンクを保護する破損した暗号スキームの組み合わせに起因するものだ。

このプラットフォームは、すべての顧客間で、単一の共有インフラと単一の固定暗号鍵を共有している。そのため、1 つのテナントの欠陥が、同一ネットワーク上の他のテナントを露出させる可能性があった。

この攻撃は、テンプレート・インジェクションから始まる。その結果、ニュースレター登録時に入力された名前などのユーザー入力が、プラットフォームのスクリプト・エンジンによりコードとして実行される可能性が生じる。SFMC がサポートするスクリプト言語は AMPScript と SSJS であり、いずれもメール・コンテンツのパーソナライズに利用される。

これらのユーザー入力が、エンジンに渡る前にサニタイズされない場合に、攻撃者はメール・レンダリング・システム内で任意の命令を実行できる。その後に、被害は急速に拡大する。攻撃者は SFMC 内部のシステムテーブルにアクセスし、任意の組織のコンタクトリスト／送信済みメール内容／SMS 記録／クリックトラッキング・データを抽出できる。

研究者たちの報告は、名前フィールドにスクリプト・ペイロードを埋め込み、メーリングリストに登録するだけで、大半の主要業界における脆弱な企業を確認できるというものだった。

Salesforce Marketing Cloud の脆弱性

最も広範な問題の一つは、SFMC におけるメール件名の処理方法に起因する。このプラットフォームのデフォルトでは、送信前に件名内の AMPScript を 2回評価する。

それが意味するのは、件名に購読者データが含まれる場合に、2回目の評価でデータが実行可能なコードとして扱われることだ。開発者にとって認識しづらい危険性であるが、この挙動により、すべてのパーソナライズ件名が侵入口になり得る。

2023年の時点で Salesforce は、この二重評価挙動の削除を試みたが、顧客の反発により撤回した。Searchlight Cyber により今回の情報開示を受け、同プラットフォームにおける件名 AMPScript の二重評価は恒久的に無効化され、この攻撃経路が完全に遮断された。

Salesforce は、一連の脆弱性に対して、以下の CVE ID を付与して修正した。

CVE-2026-22585
CVE-2026-22586
CVE-2026-22582
CVE-2026-22583
CVE-2026-2298

破損した暗号によるクロステナント・メールアクセス

もう 1 つの深刻な脆弱性は、受信者がブラウザでメールを開く際の、メール閲覧リンク内におけるクエリ文字列の暗号化方式に関連するものだ。最も広く使われていた “classic” 形式は、固定繰り返し鍵を用いた XOR 暗号で保護されており、現代の基準では安全とは言えない。

すべての顧客において、SFMC が単一の固定鍵を共有していたことで、1 つのリンクを解読するだけで、任意の企業のメールを対象とする新たなリンクを生成できる状態にあった。

研究者たちは、CBC Padding Oracle 攻撃と呼ばれる手法を用いて、クエリ・パラメータを復号／再暗号化し、異なるテナント間でメールを読み取った。

さらに高速化された手法では、攻撃に必要なリクエスト数が 1 万回以上から、1 推測あたり 2 回に削減され、大規模なデータ収集が技術的に実現可能となっていた。

2026年1月16日に通知を受けた Salesforce は 、2026年1月24日に修正を適用した。この修正では、AES-GCM 暗号が導入され、2026年1月23日以前に生成されたリンクが無効化される。同社は、この問題を原因とする不正アクセスは確認されていないと報告している。

SFMC を利用する組織にとって必要なことは、TreatAsContent 関数の不適切な使用についてメール・テンプレートを監査し、件名に流入するユーザー入力の確認である。さらに、すべてのメール閲覧リンクが、新しい暗号方式で再生成されていることを確認すべきである。

訳者後書：多くの組織が利用するメール配信プラットフォームで発生した、深刻な脆弱性について解説する記事です。問題の原因は、件名の評価を 2 回行うという特殊なスクリプト処理の仕様と、全顧客で共通の古い暗号鍵を使い続けていたことにあります。具体的には CVE-2026-22582 や CVE-2026-22583 といった脆弱性により、ユーザーが入力した名前などが悪意あるコードとして実行され、他社のメール内容まで読み取られる恐れがありました。また CVE-2026-22585 などの影響で、古い XOR 暗号方式が解読され、リンクを偽造されるリスクも生じていました。よろしければ、Salesforce での検索結果も、ご参照ください。