2025年8月28日、Google Threat Intelligence Group(GTIG)は、Salesloft Drift を介して各社の Salesforce インスタンス から広範なデータ窃取が行われたとして注意喚起を出しました。犯行主体は UNC6395。8月8日〜18日にかけて、Drift に保存・連携された OAuth トークンを足がかりに、大量のオブジェクトデータ(Account/Opportunity/User/Case 等)をエクスポートし、その中から AWS アクセスキー(AKIA)や Snowflake トークン、パスワード などの秘匿情報を探索・悪用可能な状態にしたとみられます。
8月28日の更新では、影響は Salesforce 連携に限定されず、Drift Email 連携の OAuth トークンも侵害されたことが確認されました。
関連:Zscaler、Salesloft Driftへの不正アクセスで一部顧客の情報が漏洩した可能性
Salesloft Driftへの侵入から横展開
攻撃者は、企業の Salesloft Drift環境に保存・接続されていた 第三者連携の認可トークン(OAuth) を横取りし、その権限で Salesforce へ API/SOQL クエリを実行。まず レコード件数を把握した上で、User/Case 等の詳細を抽出していました。攻撃者は痕跡を減らすため クエリジョブの削除を行う周到さを見せていますが、ログ自体は消去されておらず、事後の検証は可能でした。
当初は「Salesforce × Drift」連携が主対象とされましたが、後に Drift Email 連携トークンを使った Google Workspace メールのアクセス(少数の特定アカウント) も確認され、
Drift 上に保存・接続された全トークンが潜在的に危険という前提に変わりました。なお、Salesforce 本体の脆弱性が原因ではない点も明記されています。
関連:SalesforceとSalesloft Drift 連携で拡がるサプライチェーン サイバー攻撃の解説
影響
流出対象は「Salesforce オブジェクトの業務データ」にとどまりません。営業メモや添付、カスタム項目の中に 鍵・トークン・URL・パスワード断片 が書き込まれていれば、それ自体が二次侵害の引き金になります。
実際、GTIG は AKIA(長期 AWS アクセスキー) や Snowflake、“password / secret / key” といったキーワードを狙って探索が行われたと分析しています。Drift 側に保存されていた 他のサービス連携トークン も同様に再利用され得ます。
Googleは現在、Driftを使用しているすべての組織に対し、プラットフォームに保存されている、またはプラットフォームに接続されているすべての認証トークンを侵害されたものとして扱うよう強く求めています。この警告では、お客様に、これらのアプリケーションの認証情報を失効させてローテーションし、接続されているすべてのシステムで不正アクセスの兆候がないか調査するよう推奨しています。
出典
Widespread Data Theft Targets Salesforce Instances via Salesloft Drift








