2025年11月20日、Salesforceは、Gainsightが公開しているアプリケーションを経由して、顧客データへの不正アクセスが発生した可能性があることを発表しました。この問題を受け、SalesforceはGainsightのアプリケーションとの接続を一時的に停止し、AppExchangeからも削除しました。Salesforceのセキュリティアドバイザリーによると、この問題はSalesforceプラットフォーム自体の脆弱性によるものではなく、GainsightのアプリケーションがSalesforceに接続する外部接続に関連しているとのことです。
Gainsightも同様に、予防措置としてHubSpotおよびZendeskとの接続を停止しました。同社は、Google Cloud傘下のMandiantにフォレンジック調査を依頼し、事態の解明に努めています。このインシデントは、SaaSエコシステムにおけるサプライチェーン攻撃の潜在的なリスクを改めて浮き彫りにしました。
この事件は、Salesforceの顧客データが、サードパーティのアプリケーションを介して侵害される可能性があることを示唆しています。特に、OAuthトークンが悪用された場合、広範囲にわたる影響が出る可能性があります。企業は、自社のSaaS環境におけるサードパーティアプリケーションのリスクを再評価し、セキュリティ対策を強化する必要があります。
Scattered Lapsus$ Huntersによる犯行声明と今後の脅迫
セキュリティ情報サイトDataBreaches.netの報道によれば、Scattered Spider-ShinyHunters-Lapsus$と呼ばれるハッカー集団(Scattered Lapsus$ Huntersとも呼ばれる)が、今回のGainsightへの攻撃に関与したことを認めたとされています。彼らは、Salesforceが要求に応じない場合、SalesloftとGainsightのキャンペーンで入手したデータを公開するための専用リークサイト(DLS)を立ち上げる計画も明らかにしました。このDLSには、Fortune 500企業を含む約1000社のデータが含まれる可能性があると主張しています。
DataBreaches.netに対し、ハッカー集団は、Verizon、GitLab、F5、SonicWallなどの大手企業がGainsightのキャンペーンを通じて標的になったと語っています。さらに、彼らは11月24日にRansomware as a Service(RaaS)の提供を開始する予定であることも示唆しました。この情報は、サイバーセキュリティ業界に新たな緊張をもたらしています。
Scattered Lapsus$ Huntersは、過去にも大規模なデータ侵害事件に関与しており、その手口の巧妙さと大胆さで知られています。彼らの活動は、企業がサプライチェーン全体でセキュリティ対策を強化する必要性を強調しています。特に、サードパーティベンダーとの連携におけるリスク管理は、ますます重要になっています。
OAuthトークン悪用によるサプライチェーン攻撃の再燃
Black Kiteの最高研究情報責任者(CRIO)であるFerhat Dikbiyik氏は、「Gainsightは以前にもSalesloft Driftに関連するキャンペーンで、盗まれたOAuthトークンが悪用され、多くの組織のSalesforceデータにアクセスされるという事案を経験している」と指摘しています。この過去の事例では、顧客関係管理(CRM)データ、主にビジネス連絡先情報やSalesforceのケーステキストなどがアクセスされたことが確認されています。
今回の攻撃も同様の手口が用いられており、OAuthトークン、過剰な権限を持つアプリケーション、統合されたベンダーが組み合わさることで、完璧な攻撃チェーンが形成されています。Dikbiyik氏は、「これは単一のベンダーやプラットフォームの問題ではなく、現代のSaaSエコシステムが抱える構造的な問題である」と警告しています。SaaSエコシステムは広範囲に接続され、過度に信頼される傾向があるため、攻撃者にとって格好の標的となりやすいのです。
OAuthトークンの悪用は、サプライチェーン攻撃の一般的な手法となりつつあります。攻撃者は、信頼されたサードパーティベンダーの認証情報を盗み取り、それを利用して標的企業のシステムに侵入します。この手法は、従来のセキュリティ対策を回避しやすく、検知が困難であるため、企業にとって大きな脅威となっています。
Googleの脅威分析グループによるShinyHuntersとの関連性の指摘
Google Threat Intelligence Group(GTIG)のプリンシパル脅威アナリストであるAustin Larsen氏は、LinkedInへの投稿で、今回の攻撃を「新たなキャンペーン」と表現し、ShinyHunters(別名UNC6240)グループに関連する脅威アクターによるものと評価しています。このグループは、今年8月に発生したSalesloft Driftのインスタンスを標的とした同様の攻撃にも関与していたとされています。
DataBreaches.Netによると、ShinyHuntersは今回のキャンペーンが自分たちの犯行であることを認め、SalesloftとGainsightへの攻撃を通じて約1000社のデータを盗み出したと主張しています。興味深いことに、Gainsight自身も以前のSalesloft Driftへの攻撃で影響を受けた顧客の一社でした。しかし、今回の事件に以前の侵害がどのように影響したかは現時点では不明です。
ShinyHuntersは、過去にも大規模なデータ侵害事件に関与しており、その活動範囲は広範に及んでいます。彼らは、企業や組織に対する脅威として、常に警戒されるべき存在です。今回の事件は、ShinyHuntersのような脅威アクターが、SaaSエコシステムを標的とする攻撃をますます活発化させていることを示唆しています。
企業が講じるべき緊急対策とセキュリティ体制の見直し
Salesforceは、今回の不正アクセスを受けて、Gainsightが公開しているアプリケーションに関連するすべてのアクティブアクセスおよびリフレッシュトークンを無効化しました。また、調査が継続される間、これらのアプリケーションをAppExchangeから一時的に削除しました。Salesforceは、影響を受けた顧客に通知を行っていますが、具体的な顧客数は明らかにしていません。
Gainsightも、HubSpot Marketplaceからアプリケーションを一時的に削除し、Zendeskコネクタへのアクセスを無効化しました。同社は、「レビューが行われている間、顧客接続のためのOAuthアクセスにも影響を与える可能性がある」と述べています。ただし、「現時点では、HubSpotに関連する不審な活動は確認されていない」とのことです。
今回の事件を受けて、企業はSalesforceに接続されているすべてのサードパーティアプリケーションを再評価し、未使用または疑わしいアプリケーションのトークンを無効化し、統合から異常が検出された場合は認証情報をローテーションすることが推奨されます。また、多要素認証(MFA)の導入や、アクセス権限の最小化など、基本的なセキュリティ対策の徹底も重要です。
SaaSサプライチェーン攻撃に対する包括的な防御戦略の構築
今回のGainsightを介したSalesforce顧客データへの不正アクセス事件は、SaaSサプライチェーン攻撃の深刻さを改めて認識させるものでした。攻撃者は、信頼されたサードパーティベンダーを足がかりに、広範囲な顧客データにアクセスする可能性があります。企業は、自社のSaaS環境全体を可視化し、リスクを評価し、適切なセキュリティ対策を講じる必要があります。
SaaSサプライチェーン攻撃に対する防御戦略は、単一の対策に依存するのではなく、多層防御のアプローチを採用する必要があります。これには、サードパーティベンダーのセキュリティ評価、OAuthトークンの厳格な管理、異常検知システムの導入、インシデント対応計画の策定などが含まれます。また、従業員に対するセキュリティ意識向上トレーニングも不可欠です。
企業は、SaaSサプライチェーン攻撃のリスクを軽減するために、継続的な監視と改善を行う必要があります。定期的なセキュリティ監査を実施し、最新の脅威インテリジェンスに基づいて防御戦略を更新することが重要です。また、業界全体で情報共有を促進し、協力してSaaSサプライチェーンのセキュリティを強化していく必要があります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -New Gainsight Supply Chain Hack Could Affect Salesforce Customers - https://www.infosecurity-magazine.com/news/new-gainsight-supply-chain-hack/
- -Salesforce Flags Unauthorized Data Access via Gainsight-Linked OAuth Activity - https://thehackernews.com/2025/11/salesforce-flags-unauthorized-data.html