1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 個人情報漏洩のニュース
  4. Palo Alto Networks(パロアルトネットワークス)、Salesloft Driftへの不正アクセスで顧客情報が流出

Palo Alto Networks(パロアルトネットワークス)、Salesloft Driftへの不正アクセスで顧客情報が流出

セキュリティニュース

投稿日時: 更新日時:

Palo Alto Networks(パロアルトネットワークス)、Salesloft Driftへの不正アクセスで顧客情報が流出

2025年8月下旬、Salesloft Drift(マーケティングSaaS)に保存・連携されていたOAuthトークンが窃取され、複数社のSalesforce環境に不正アクセスが行われるという大規模なサプライチェーン攻撃が発生しました。これによりPalo Alto Networks(パロアルトネットワークス)でも当該トークンを起点にSalesforce内に保存されている顧客情報の流出した可能性を発表しました。

関連記事

攻撃の概要

攻撃者は2025年8月8日〜18日にかけて、流出したOAuth認証情報を用いて複数社のSalesforce環境からAccount/Contact/Case/Opportunityといった主要オブジェクトのデータを大量に持ち出し、さらに資格情報の探索を行っていたとしています。

この一連のサプライチェーン攻撃にPalo Alto Networksも被害に遭いました。

関連:SalesforceとSalesloft Drift 連携で拡がるサプライチェーン サイバー攻撃の解説

流出した情報

同社によるとサイバー攻撃者は、主に同社の

・ビジネスに関する連絡先と関連アカウント情報

・社内販売アカウント記録

・基本的なサポートケースデータ

を盗み出したとしており、対象者には通知予定と発表しています。

一方で、同社の製品・システム・サービスには影響なし、サポートケースの添付ファイルや技術資料は含まれない。また、関連するDrift連携は無効化済みで、トークンの失効・資格情報のローテーションを完了したとしています。

影響を受け得る組織が直ちに実施すべきこと

以下は Unit 42 の推奨と実務観点の補足を統合し以下を推奨します。

アクセス無効化・秘匿情報の除去

  • Drift連携の一時停止/無効化(再開は原因と対策の妥当性確認後)。

  • Drift/Salesforce 関連のOAuthトークン失効・再発行、管理者強制再認証。

  • 環境全体の資格情報ローテーション(APIキー、PAT、Webhook、SSO連携シークレット等)。

  • エクスポート済みデータの秘匿情報サーチTruffleHog/Gitleaks等でAKIA/Snowflake/JWT/client_secretなどを機械抽出。

ログの遡及調査(8/8〜現時点)

  • Salesforce:Event Monitoring(URI/Report/Query/Export)、Bulk API/Async SOQL、Connected Apps、Apex Job、監査ログの大量・深夜帯・海外ASアクセスを相関。

  • IdP/ネットワーク:Tor出口、異常AS、Impossible Travel、機械的UAの連続アクセスをハンティング。

  • 削除痕跡の補完:SIEMやプロキシ、DLP、eDiscoveryの周辺ログで相関復元。

ポリシー強化と恒常運用

  • OAuthスコープ最小化未承認アプリの自動遮断、同意は二重承認有効期限を付与。

  • ケース運用の衛生:秘匿情報の書込みを禁止し、DLP(正規表現/検知ワード)を常時適用。

  • メール・連絡先保護:BIMI+DMARC/SPF/DKIMの厳格化、役員宛や営業宛を高優先フィルタで監視。

  • 検知と即応ランブック(検知→トークン失効→ローテ→顧客連絡)を演習し、CSIRT/営業/法務の連携導線を整備。

  • Unit 42 IRへの相談:侵害兆候がある場合は外部IRの即時関与で封じ込め時間を短縮。

攻撃の全体像(Googleの技術分析)

Google Threat Intelligence Group(GTIG)は、本件をUNC6395による広範なデータ窃取キャンペーンと位置付けています。8月8日〜18日に、Driftに保存・接続されていたOAuth/リフレッシュトークンを悪用してSalesforceへAPI/ SOQLクエリを実行し、Account/Opportunity/User/Caseなどから大量のデータをエクスポート。

AWSアクセスキー(AKIA)やSnowflakeトークン、パスワード断片といった秘匿情報を検索していたことが示されています。8月28日の更新では、Drift Email連携のトークンも侵害され、一部構成でGoogle Workspaceメールへのアクセスが発生した可能性が示されました(Driftと連携設定済みの少数アカウントに限定)。Salesforce本体の脆弱性が原因ではない点も明記されています。

さらにGoogleは、Driftを使用しているすべての組織に対し、プラットフォームに保存されている、またはプラットフォームに接続されているすべての認証トークンを「侵害されたもの」として扱うよう強く求めています

出典・参照

Threat Brief: Salesloft Drift Integration Used To Compromise Salesforce Instances

Palo Alto Networks data breach exposes customer info, support cases

関連記事

SalesforceとSalesloft Driftの連携で拡がった大規模サプライチェーン サイバー攻撃のまとめと解説Salesforce(セールスフォース)とSalesloft Drift 連携で拡がるサプライチェーン サイバー攻撃の解説 Google、SalesforceとSalesloftへのサイバー攻撃がGoogle Workspaceへも影響した事を発表Google、SalesforceとSalesloft Driftへのサイバー攻撃がGoogle Workspaceへも影響した事を発表 Zscaler、Salesloft Driftへの不正アクセスで一部顧客の情報が漏洩した可能性Zscaler、Salesloft Driftへの不正アクセスで一部顧客の情報が漏洩した可能性 Cloudflare、Salesloft Driftへのサプライチェーン攻撃で一部 顧客情報が漏洩Cloudflare、Salesloft Driftへのサプライチェーン攻撃で一部 顧客情報が漏洩 salesforce-and-salesloft-drift-related-data-breach-lawsuit-filed-in-californiaSalesforce(セールスフォース)とSalesloft Drift関連のサイバー攻撃による情報漏洩、カリフォルニア州で提訴 ハッカーがシスコ,トヨタ,富士フイルム,GoogleなどのSalesforceへ不正アクセスによるサイバー攻撃を主張Salesforce(セールスフォース)へサイバー攻撃-ハッカーによる不正アクセスで情報漏洩か-シスコ/トヨタ/富士フイルム/Googleに影響か Proofpointの設定を悪用され何百万通のフィッシングメールが送信されるProofpointの設定が悪用され何百万通のフィッシングメールが送信される Workiva、Salesloft Driftへのサプライチェーン攻撃で情報漏洩Workiva、Salesloft Driftへのサプライチェーン攻撃で情報漏洩 Palo Alto NetworksがProtect AIを買収:AIセキュリティ強化に向けた戦略的投資Palo Alto NetworksがProtect AIを買収:AIセキュリティ強化に向けた戦略的投資