Salesforce連携アプリを狙った巧妙な攻撃:OAuthトークン悪用の実態
2025年11月、クラウドサービス大手Salesforceは、同プラットフォームに接続されたGainsight製アプリケーションに関連する「異常な活動」を検知したと発表し、サイバーセキュリティ業界に大きな波紋を広げました。この異常な活動は、Gainsight製アプリの接続を介して、特定の顧客のSalesforceデータへの不正アクセスを可能にした可能性が指摘されています。Salesforceは事態を重く見て、Gainsight製アプリに関連する全てのアクティブなアクセスおよびリフレッシュトークンを即座に失効させ、調査が続く間、これらのアプリケーションをAppExchangeから一時的に削除する措置を講じました。
このインシデントは、SaaS(Software as a Service)エコシステムにおける第三者連携のセキュリティリスクを浮き彫りにするものです。Salesforceは、この問題がSalesforceプラットフォーム自体の脆弱性に起因するものではなく、「アプリのSalesforceへの外部接続に関連している」との見解を示しています。これは、クラウドサービスプロバイダーが提供する基盤の堅牢性とは別に、連携する外部アプリケーションのセキュリティ体制が全体の防御チェーンにおいていかに重要であるかを示唆しています。
Google脅威インテリジェンスグループ(GTIG)の主席脅威アナリストであるオースティン・ラーセン氏は、この活動を「新たなキャンペーン」と表現し、Salesforceに接続されたGainsight製アプリを標的としたもので、第三者のOAuthトークンを侵害することで不正アクセスを得ようとするものだと分析しています。OAuthトークンは、ユーザーがアプリケーションに他のサービスへのアクセス権限を付与する際に使用される認証情報であり、これが悪用されると、ユーザーの明示的な許可なしにデータにアクセスされる危険性があります。
この攻撃の背後には、悪名高いサイバー犯罪グループであるShinyHunters(別名UNC6240、Bling Libra)が関与しているとされています。DataBreaches.Netの報道によれば、ShinyHuntersはこのキャンペーンが彼らの仕業であることを確認し、SalesloftとGainsightへの攻撃を通じて、約1000の組織からデータを盗み出したと主張しています。これは、今年8月にSalesloft Driftのインスタンスを標的とした一連の攻撃と酷似しており、脅威アクターがSaaS連携の弱点を継続的に狙っている現状を示しています。
Gainsight自身も、以前のSalesloft Driftへの攻撃で影響を受けた顧客の一つであったと報じられていますが、今回の事件との直接的な関連性は現時点では不明です。しかし、この事実は、サプライチェーン攻撃の複雑さと、一度侵害された組織が再び標的となるリスクを示唆しています。
拡大する被害範囲とSaaS連携の脆弱性
当初、SalesforceがGainsightに提供した影響を受けた顧客リストはわずか3社でしたが、2025年11月21日までに「より大規模なリスト」へと拡大したことがGainsightによって明らかにされました。GainsightのCEOであるチャック・ガナパティ氏は、影響を受けた顧客の正確な数は公表しなかったものの、「現時点では、データが影響を受けた顧客はごく少数しか把握していない」と述べています。しかし、ShinyHuntersが約1000の組織からデータを盗んだと主張していることとの間に、認識の大きな隔たりがある点は注目に値します。
この事件は、SaaSエコシステムにおけるサプライチェーン攻撃の典型的な例として捉えることができます。一つのサービスプロバイダーの脆弱性が、そのサービスを利用する多数の企業に連鎖的に影響を及ぼす可能性を秘めているからです。特に、Salesforceのような広範な顧客基盤を持つプラットフォームと連携するアプリケーションは、攻撃者にとって魅力的な標的となり得ます。OAuthトークンの悪用は、正規の認証メカニズムを迂回し、信頼された接続を悪用する点で非常に巧妙な手口と言えます。
過去のSalesloft Driftへの攻撃では、攻撃者はSalesforce関連のコンテンツに関するビジネス連絡先の詳細、具体的には氏名、ビジネスメールアドレス、電話番号、地域/場所の詳細、製品ライセンス情報、および添付ファイルを含まないサポートケースの内容にアクセスしたと報じられています。今回のGainsight関連の侵害でどのようなデータが標的となったかは現時点では明確ではありませんが、同様の機密情報が流出した可能性も否定できません。
Gainsightは、顧客サポートプラットフォームとして、顧客の成功を支援するための多岐にわたる製品を提供しています。今回の予防措置により、Customer Success (CS)、Community (CC)、Northpass - Customer Education (CE)、Skilljar (SJ) といった製品で、Salesforceからの読み書き機能が一時的に利用できなくなりました。ただし、Staircase (ST) については、Gainsightはインシデントの影響を受けていないと強調しており、Salesforceが調査の一環として予防的に接続を削除したと説明しています。Staircaseは他のGainsight製品とは完全に分離されたインフラで運用されており、システムやデータパスを共有していないとのことです。
緊急対応と業界全体の連携:多層的な防御戦略
この広範な影響を受け、SalesforceとGainsightは迅速な対応を迫られました。Salesforceは、Gainsight製アプリのトークン失効とAppExchangeからの削除に加え、影響を受けた顧客への通知を徹底しました。Gainsightもまた、HubSpot Marketplaceからのアプリの一時的な削除やZendeskコネクタアクセスの取り消しといった予防措置を講じました。さらに、Gong.io、Zendesk、HubSpotといった他の主要なSaaSプロバイダーも、Gainsightとの連携を一時的に停止する措置を取りました。
HubSpotは、自社のインフラストラクチャや顧客が侵害された証拠は見つからなかったと発表していますが、調査が完了するまでGainsightとの連携を無効化し続けるとしています。Googleもまた、`gainsightcloud[.]com`のようなコールバックURIを持つOAuthクライアントを無効化するなど、広範な予防措置が講じられました。これらの対応は、SaaSエコシステム全体が連携して脅威に対処しようとする姿勢を示しており、単一の企業だけでなく、サプライチェーン全体でのセキュリティ強化が不可欠であることを浮き彫りにしています。
Gainsightは、顧客向けFAQを公開し、定期的に更新することで透明性を保ち、状況に関する最新情報を提供しています。また、Gainsight Statusサイトで状況を共有し、顧客向けのタウンホールミーティング「Office Hours」を定期的に開催するなど、顧客とのコミュニケーションを重視しています。Salesforceとの接続アプリがオフラインになっている間も、顧客がGainsight Customer Successインスタンスを管理できるよう、代替ソリューションも提供されているとのことです。
今回の事件の深刻さを鑑み、GainsightはGoogle Cloudのインシデント対応部門であるMandiantを招き、独立したフォレンジック調査を実施しています。これは、外部の専門家による客観的な分析を通じて、攻撃の全容解明と再発防止策の策定を加速させるための重要なステップです。このような多層的な対応は、現代の複雑なサイバー脅威に対して、企業が単独でなく、業界全体で協力し、専門家の知見を結集することの重要性を示しています。
攻撃の足跡とIoC:脅威アクターの巧妙な戦術
Salesforceが公開した侵害指標(IoC)は、今回の攻撃がどのように展開されたかについて具体的な洞察を提供しています。最初の不正アクセスは2025年11月8日に確認され、AT&TのIPアドレスを介して偵察活動が行われたとされています。その後、11月16日から23日の間に約20件の疑わしい侵入が特定されました。これらの侵入では、Torのような匿名化ツールや、Mullvad、Surfsharkといった商用VPNサービスが利用されており、攻撃者が自身の身元を隠蔽しようとする意図が明確に見て取れます。
特に注目すべきIoCの一つは、不正アクセスに使用されたユーザーエージェント文字列「Salesforce-Multi-Org-Fetcher/1.0」です。このユーザーエージェントは、今年8月に発生したSalesloft Driftへの攻撃でも観測されており、今回のGainsightへの攻撃とShinyHuntersグループとの関連性を強く裏付けるものとなっています。攻撃者は、一度成功した手口やツールを再利用することで、効率的に複数の標的を狙っていると考えられます。
Salesforceの情報によると、侵害されたGainsightアクセストークンを持つ顧客に対する偵察活動は、それよりも前の10月23日には既にIPアドレス「3.239.45[.]43」から記録されていました。これは、攻撃者が本格的なデータ窃取に乗り出す前に、標的環境の偵察と準備に時間をかけていたことを示唆しています。このような段階的なアプローチは、高度な持続的脅威(APT)グループや洗練されたサイバー犯罪グループがよく用いる戦術であり、防御側にとっては早期の検知が極めて困難であることを意味します。
Gainsightは、このインシデントを受けて、VPNや重要システムへのアクセスに使用される多要素認証の資格情報をローテーションするなど、自社環境の強化策を講じています。また、顧客に対しても、特定されたIPアドレスをプロファイルレベルで制限すること、S3バケットのアクセスキーやBigQuery、Zuora、Snowflakeなどの他のコネクタのキーをローテーションすること、Salesforce経由ではなくGainsight NXTに直接ログインすること、SSOを使用しないユーザーのNXTパスワードをリセットすること、そしてユーザー資格情報やトークンに依存する接続アプリケーションを再認証することなどを推奨しています。これらの措置は、調査が継続される中で環境の安全を確保するための予防的なものです。
ShinyHuntersの進化:RaaSプラットフォーム「ShinySp1d3r」の登場
今回のGainsightへの攻撃を主導したとされるShinyHuntersは、単なるデータ窃取グループに留まらない、その活動の進化が注目されています。ZeroFoxのデータによると、ShinyHuntersはScattered Spider、LAPSUS$といった悪名高いグループと連携し、SLSHというサイバー犯罪アライアンスを形成しています。このアライアンスは、過去1年間で少なくとも51件のサイバー攻撃に関与しており、その脅威の広範さと深刻さを示しています。
特に懸念されるのは、SLSHが「ShinySp1d3r(Sh1nySp1d3r)」と呼ばれる新たなRaaS(Ransomware-as-a-Service)プラットフォームを開発していることです。独立系サイバーセキュリティジャーナリストのブライアン・クレブス氏の報道によれば、このランサムウェアのリリース責任者は、SLSHのコアメンバーであり、グループのTelegramチャンネルの管理者の一人でもある「Rey」(別名@ReyXBF)という人物です。Reyは以前、BreachForumsおよびHellCatランサムウェアのデータ漏洩サイトの管理者でもありました。
Rey、その正体がサイフ・アル・ディン・カデル氏であることが判明していますが、彼はクレブス氏に対し、ShinySp1d3rはHellCatをAIツールで改良したものであり、2025年6月以降、法執行機関に協力していると語っています。しかし、その活動は依然として活発であり、ShinySp1d3rは従来のランサムウェアには見られない独自の機能を多数備えています。これには、Windowsイベントビューアのログ記録を防ぐために`EtwEventWrite`関数をフックする機能、ファイルのオープン状態を維持するプロセスを終了させる機能、削除されたファイルを上書きするためにドライブの空き領域をランダムデータで埋める機能などが含まれます。
さらに、ShinySp1d3rは、オープンなネットワーク共有を検索して暗号化する能力や、`deployViaSCM`、`deployViaWMI`、`attemptGPODeployment`といった手法を通じてローカルネットワーク上の他のデバイスに伝播する機能も有しています。Palo Alto Networks Unit 42の研究者マット・ブレイディ氏は、「RaaSプログラムの出現は、EaaS(Extortion-as-a-Service)提供と相まって、SLSHを、複数の方法で侵入操作を収益化できる手ごわい敵にしている」と指摘しています。また、「内部関係者の採用要素は、組織が防御すべきもう一つの層を追加している」と述べ、脅威の多角化に警鐘を鳴らしています。
企業と顧客に求められる多層防御と警戒の継続
今回のSalesforceとGainsightを巡る一連の事件は、現代のデジタル環境におけるセキュリティの複雑さと、多層的な防御戦略の必要性を改めて浮き彫りにしました。SaaSアプリケーションの利用が拡大し、企業間の連携が深まるにつれて、一つの脆弱性がサプライチェーン全体に波及するリスクは増大しています。特に、OAuthトークンのような認証メカニズムが悪用されると、正規のアクセス権限を持つかのように振る舞うため、従来の境界防御だけでは防ぎきれない巧妙な攻撃を許してしまう可能性があります。
Gainsightは、顧客に対して、S3バケットのアクセスキーやBigQuery、Zuora、Snowflakeなどの他のコネクタのキーをローテーションすること、Salesforce経由ではなくGainsight NXTに直接ログインすること、SSOを使用しないユーザーのNXTパスワードをリセットすること、そしてユーザー資格情報やトークンに依存する接続アプリケーションを再認証することなど、具体的な予防措置を推奨しています。これらの措置は、侵害のリスクを最小限に抑え、攻撃の拡大を防ぐ上で極めて重要です。
また、Google脅威インテリジェンスグループ(GTIG)が2025年9月に提示した、ShinyHunters、Scattered Spider、LAPSUS$といったSLSHグループの脅威を軽減するための予防策を導入することも推奨されています。これには、第三者アプリケーションの接続を定期的にレビューし、未使用または疑わしいアプリケーションのトークンを失効させること、そして統合から異常が検出された場合には資格情報をローテーションすることなどが含まれます。
今回の事件は、企業が自社のセキュリティ対策だけでなく、利用しているSaaSプロバイダーやその連携アプリケーションのセキュリティ体制にも目を光らせる必要があることを示しています。サプライチェーン全体のセキュリティを確保するためには、契約上の義務だけでなく、継続的な監視、情報共有、そしてインシデント発生時の迅速な共同対応が不可欠です。脅威アクターが常に新たな手口を開発し、進化を続ける中で、企業もまた、その防御戦略を絶えず更新し、警戒を怠らない姿勢が求められます。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Salesforce Flags Unauthorized Data Access via Gainsight-Linked OAuth Activity - https://thehackernews.com/2025/11/salesforce-flags-unauthorized-data.html
- -Gainsight Expands Impacted Customer List Following Salesforce Security Alert - https://thehackernews.com/2025/11/gainsight-expands-impacted-customer.html
- -Gainsight Cyber-Attack Affects More Salesforce Customers - https://www.infosecurity-magazine.com/news/gainsight-cyberattack-more/