2025年8月Salesloftのチャット製品「Drift」を起点に、Salesforce連携のOAuthトークンが悪用されるサプライチェーン攻撃が明らかになりました。攻撃者は正規権限で各社のSalesforceからサポートケースの本文や連絡先情報を一括抽出し、機密情報の探索も試みたとみられます。Cloudflare、Palo Alto Networks、Zscaler、Taniumなど被害公表が相次ぐ中、全トークンの失効とローテーション、連携の再点検が急務です。

何が発生したのか要点

• SalesforceとSalesloft Driftの連携機能の不具合を突かれ、大規模なサプライチェーン攻撃が発生
• Salesforceの脆弱性ではなく、Drift側のシステム設計不備
• Google、Cloudflare、Zscaler、Palo Alto Networks、Proofpoint、BeyondTrust、CyberArk、Workivaなどの著名企業に影響　ただし各社の製品基盤への影響は発生しておらず一部顧客への限定的な影響のみ
• Salesloft DriftはIOCハンティングと連携系所の上トークン・秘密情報の一斉失効を推奨

SalesforceとSalesloft Drift連携へのサイバー攻撃の概要

2025年3月、脅威アクターはSalesloftのGitHubリポジトリへ侵入し、TruffleHogセキュリティ ツールを使用してソースコードの秘密をスキャンしその結果、Salesloft Drift および Drift Email プラットフォームの OAuth トークンを発見。

2025年8月上旬から中旬にかけて、Salesloft傘下の対話型チャット製品「Drift」のSalesforce連携を起点とした大規模なサプライチェーン攻撃が発生しました。攻撃者は、Drift側に保存・接続されていたOAuth認可情報（アクセストークン／リフレッシュトークン）や一部APIキーを窃取し、その正規権限を用いて各社のSalesforceテナントへAPI経由でアクセスし、サポートケースやサポート連絡の本文や連絡先情報などを大量にエクスフィルトレーション（持ち出し）しました。

影響は数百社規模に及んだと見られ、Cloudflare、Zscaler、Palo Alto Networks、Proofpoint、BeyondTrust、CyberArk、Workivaなどの著名企業が、Salesforce内データ（主にテキスト情報）への不正アクセスと初動対応を公表しました。SalesforceとSalesloftは連携を一斉に無効化し、DriftアプリはAppExchangeから撤去されています。

加えて、調査の過程でDrift Email連携のOAuthトークンも標的になり、一部構成でGoogle Workspaceの限定的アクセスが確認されたことから、Driftに保存・接続されたすべての認証トークンを侵害前提で扱うことが強く推奨されています。

原因

原因は、DriftとSalesforceをつなぐ認可トークンの不正取得と再利用にあります。

攻撃者はDrift側の侵害を通じて、連携に紐づくOAuth／APIキーを入手し、正規アプリとしてSalesforce APIへ認証済みアクセスを行いました。

これにより、権限が許す範囲でSOQLクエリやBulk API 2.0を駆使したデータ抽出が可能となりました。Salesloftは、OAuth連携についてはベンダー側でトークンを失効・再認証させ、APIキー連携はお客様側でキーの再発行と差し替えを行うよう勧告しています。

また、外部のセキュリティ企業と連携し、封じ込めと原因究明を進めています。

さらに、後続の分析でDrift Email連携のトークンも悪用対象だったことが判明し、少数の構成でGoogle Workspaceのメール等に限定的アクセスがあったと報告されています。

これにより、「Salesforce×Drift」連携に限らず、Driftに保存・接続される全連携トークンの全面的な失効・ローテーションが必要という結論に至りました。

繰り返しになりますが、Salesforce本体の欠陥が原因ではなく、第三者連携に与えた“正規の権限”の横取りこそが攻撃の核心でした。

被害を発表した組織

以下の企業が限定的な被害や被害の可能性を発表しています。なお各社とも製品やサービス基盤への影響は発生しておらず、流出した場合でも被害は限定的としています。

Cloudflare(クラウドフレア)

Salesforce の Case 本文に含まれていた Cloudflare API トークン 104 件 を特定し 全件ローテーション しました。製品・基盤への侵入なし、添付ファイルは対象外。発生時系列（8/9 偵察 → 8/12 侵入 → 8/17 一括抽出 → ジョブ削除）と IOC を公開し、影響可能性のある顧客へ個別通知しています。

Zscaler(ゼットスケーラー)

担当者の氏名・業務メール・役職・電話番号・所在地・製品ライセンス／商流情報 および 一部サポートケースのテキスト本文 への 限定的アクセス を確認。連携遮断、トークン予防ローテーション、サポート時の 本人確認強化 を実施。プロダクトや基盤への影響は無し。

Palo Alto Networks(パロアルトネットワークス)

Account／Contact／Case／Opportunity の 広範抽出 と “password”“secret”“AKIA” 等の資格情報探索、クエリ削除による痕跡隠蔽 を観測しました。影響範囲は ビジネス連絡先・販売記録・基本的ケースデータ で、技術添付は含まず。製品・サービス・基盤への影響なし。

Proofpoint(プルーフポイント)

Salesforce 上の 一部情報の閲覧 を確認。Drift 無効化と連携遮断 を完了し、Salesforce／Salesloft と連携して調査を継続。ソフトウェア／サービス／顧客保護データ／社内ネットワークへの影響なし と公表しています。

BeyondTrust

Drift 無効化、資格情報の広範ローテーション を即時実施。影響は Salesforce に限定 され、顧客情報の悪用兆候なし、製品・コード・保護データへの影響なし。フィッシングやソーシャルエンジニアリングへの警戒 を呼びかけています。

CyberArk

Salesforce–Drift 接続の遮断、関連資格情報のリセット、外部専門家の関与 を実施。アクセスは CRM 内のビジネス連絡先や会話メタデータ、サマリ項目 などに限定。API キー／資格情報／セッション録画／パスワード・秘密情報／ドキュメント・添付／サポートケース情報 は影響なし。自社製品・サービスへの影響もなし。

Workiva

Salesforce に保存されていた 顧客連絡先（氏名・メール・電話）とサポート本文の一部 の閲覧を顧客に通知。基幹プラットフォーム自体への侵入はなく、影響は CRM 側に限定。フィッシング等の二次被害 への警戒を促しています。

Tanium

Salesloft Drift から窃取された Tanium の認証情報により Salesforce データに限定的アクセス があった可能性を把握したと公表しています。対象は 氏名、業務メールアドレス、電話番号、地域・ロケーション参照 などの 一般的なビジネス連絡先情報 に主として限られ、顧客情報の悪用兆候は確認されていません。Tanium プラットフォームや他の社内システムへのアクセスは一切なし と断定しています。

対策として Drift のアクセスを直ちに無効化 し、広範な調査 とともに SSPM（SaaS Security Posture Management）を活用した統合・連携まわりの検出・統制を強化 しています。利用者には フィッシングやソーシャルエンジニアリングへの警戒 を呼びかけ、公式サポート以外の経路で パスワード等の秘匿情報を要求することはない と注意喚起しています。

Google（GTIG）

活動を UNC6395 として位置付け、Drift Email 連携のトークン悪用 に伴う Google Workspace への限定アクセスを更新報告。Drift に保存・接続されたすべての認証トークンを侵害前提 として扱い、失効・ローテーションと横断調査 を強く推奨しています。

脅威アクター

Google Threat Intelligence Group はこの活動を UNC6395 として、Cloudflare の脅威チームは GRUB1 として追跡しています。

対策

• Drift 連携の遮断と再認証統制：原因と是正策の妥当性が確認できるまで安易に再接続しない

• トークン・秘密情報の一斉失効／ローテーション：Drift–Salesforce の OAuth／リフレッシュトークン、API キー、Webhook シークレット、SSO 連携シークレット を広範に更新します。Drift Email 連携 を含む Drift 側に保存・接続される全トークン を対象にします。

• ケース本文の“秘密情報スキャン”：TruffleHog／Gitleaks 等で AKIA、Snowflake トークン、JWT、client_secret、password などを自動抽出し、見つけ次第 即時失効・再発行 します。

• IOC ハンティングと時系列再構成：Salesforce Event Monitoring で Report／Query／Bulk API／Async

侵害兆候(IOC)

このインシデントには以下の指標がIOCとして関連付けされています。

ユーザーエージェント文字列

• Pythonリクエスト/2.32.4
• Salesforce マルチ組織フェッチャー/1.0
• Python/3.11 aiohttp/3.12.15

IPアドレス

• 154.41.95.2
• 176.65.149.100
• 179.43.159.198
• 185.130.47.58
• 185.207.107.130
• 185.220.101.133
• 185.220.101.143
• 185.220.101.164
• 185.220.101.167
• 185.220.101.169
• 185.220.101.180
• 185.220.101.185
• 185.220.101.33
• 192.42.116.179
• 192.42.116.20
• 194.15.36.117
• 195.47.238.178
• 195.47.238.83
• 208.68.36.90
• 44.215.108.109

最新攻撃動向・AI悪用・脆弱性対応・漏えい防止まで、情報システム部門に必要な学びを網羅したセミナーを厳選掲載。ライブ/アーカイブ/無料多数。今すぐ『情報セキュリティに関するセミナー・イベント一覧』へ。開催予定・登壇資料・録画リンクも順次更新。参加しやすいオンライン中心、途中入退室OK。

今すぐ詳細確認

参照

SalesLoft Drift公式

関連記事

Salesforce(セールスフォース)とSalesloft Drift関連のサイバー攻撃による情報漏洩、カリフォルニア州で提訴 Google、SalesforceとSalesloft Driftへのサイバー攻撃がGoogle Workspaceへも影響した事を発表 Salesforce(セールスフォース)へサイバー攻撃-ハッカーによる不正アクセスで情報漏洩か-シスコ/トヨタ/富士フイルム/Googleに影響か Palo Alto Networks(パロアルトネットワークス)、Salesloft Driftへの不正アクセスで顧客情報が流出 Proofpointの設定が悪用され何百万通のフィッシングメールが送信される Zscaler、Salesloft Driftへの不正アクセスで一部顧客の情報が漏洩した可能性 偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導-ClickFixによるソーシャルエンジニアリング Palo Alto NetworksがProtect AIを買収：AIセキュリティ強化に向けた戦略的投資 Cloudflare、Salesloft Driftへのサプライチェーン攻撃で一部 顧客情報が漏洩

投稿者：三村

セキュリティ製品を手がける上場企業にて、SOC（セキュリティオペレーションセンター）運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)