FBIは2025年9月12日、FLASH-20250912-001(配布区分:TLP:CLEAR)を公開し、サイバー犯罪グループUNC6040およびUNC6395によるSalesforceプラットフォームを狙ったデータ窃取・恐喝型攻撃の実態とセキュリティ対策を共有しました。
概要
FBIはTLP:CLEARのFLASHで、Salesforce連携を悪用した二系統の攻撃(UNC6040の電話による承認誘導+Connected App/OAuth、UNC6395の流出OAuthトークン経由のAPI大量窃取)を警告しました。どちらもMFAを“横から”迂回し、正規トークンで静かにデータを抜くのが特徴です。
UNC6040-ビッシング(ボイスフィッシング)でMFAを相殺する
UNC6040は、コールセンターやITサポート窓口を起点にしたビッシング(ボイスフィッシング)で、侵入します
攻撃者はIT担当者を装って電話をかけ、「チケットXXXXのクローズ作業で設定確認が必要です」などとシナリオを読み上げ、担当者をSalesforce の Connected App 設定画面へと誘導します。
通話の中で「このアプリは安全」「業務委託先での標準手順」などの文言で心理的抵抗を和らげながら、攻撃者が用意したアプリへのアクセス許可(OAuth)を承認させます。
ここで承認されたアプリは長期有効なトークンを得て、MFA の壁を脇から迂回し、API でオブジェクト横断のデータ引き出しが可能になります。
犯人側の工夫は細かいところに及びます。たとえば、正規ツール名に似せたData Loader 風の名称や、
Trial ライセンスで作られた一時アプリを使って発見を遅らせること。承認直後は目立つ操作をせず、数日から数か月後にまとめてAPI で吸い上げます。
さらには、ShinyHunters等の名義で恐喝メールを送り付け、暗号資産での支払いを迫ります。
UNC6395-Salesloft Driftの連携を悪用
UNC6395は第三者SaaS の統合トークンを横取りして横展開する手口を利用します。FBI は、セールスエンゲージメント系の統合(例:Salesloft 経由の Drift 連携)でOAuth アクセストークン/リフレッシュトークンが流出した事案を取り上げ、そこから多数の組織の Salesforce インスタンスに自動的に接続し、CLI やスクリプト的User-AgentでAPI を叩いてデータを抜く挙動を指摘しています。
特徴的なのは、攻撃がブラウザログインに現れにくいこと。
確認できるのはAPI イベントの急増、Export/Report の連続実行、特定UAの偏りといった部分のみです。
推奨対策
FBIは以下を含む実務的な対策を提示しています。コールセンターを起点にしたソーシャルエンジニアリング対策と、API・連携の最小化/監視強化が要点です。
-
教育:コールセンター要員にフィッシング検知・報告訓練を実施。
-
認証強化:可能な限りフィッシング抵抗性MFAを必須化。
-
権限制御:AAAと最小権限の徹底。
-
到達制御:IPベースのアクセス制限、API利用の異常検知。
-
監視:ネットワークログとブラウザセッションを監視し、データ流出兆候を検知。
-
第三者連携:接続中の全サードパーティ統合を棚卸し、APIキー/資格情報/トークンのローテーションを実施。
関連記事
Google、SalesforceとSalesloft Driftへのサイバー攻撃がGoogle Workspaceへも影響した事を発表
Salesforce(セールスフォース)とSalesloft Drift関連のサイバー攻撃による情報漏洩、カリフォルニア州で提訴
Salesforce(セールスフォース)とSalesloft Drift 連携で拡がるサプライチェーン サイバー攻撃の解説
Palo Alto Networks(パロアルトネットワークス)、Salesloft Driftへの不正アクセスで顧客情報が流出
Zscaler、Salesloft Driftへの不正アクセスで一部顧客の情報が漏洩した可能性
Google、Salesforceへの不正アクセスでGoogle広告の見込み客情報が漏洩
ジープ(Jeep)やクライスラーの親会社 ステランティス、サイバー攻撃で顧客の情報漏洩-Salesforceへの攻撃キャンペーン関連か
AWSとGoogle CloudのCLIツールで情報漏洩の脆弱性 LeakyCLIが発生
Cloudflare、Salesloft Driftへのサプライチェーン攻撃で一部 顧客情報が漏洩
