2026年6月26日、S市場インテリジェンス SaaS「Klue」の Salesforce 連携を悪用したサプライチェーン攻撃の被害組織がおよそ 24 社に達したことが確認されました。Tines・Deel・Blackbaud など新たな被害企業が相次いで自社顧客への通知を公表した一方で、本件を起こした恐喝グループ「Icarus」の Tor ベースのリークサイトが数日前から閲覧不能になっています。
Klue が Icarus と交渉して身代金を支払い、データの削除が進んでいるとの報告が出ている最中、今度は Icarus 自身が別の攻撃者グループに侵害され、窃取データが第三者の手に渡ったことが明らかになりました。攻撃者が攻撃者に狙われるという二重の恐喝連鎖が生じており、被害組織は Klue との交渉が成立したとしても情報統制ができなくなっています。
目次
サマリー
- 2026年6月11〜12日に Klue のバックエンドが侵害され、顧客の Salesforce OAuth トークンが悪用されたサプライチェーン攻撃で、被害確認組織がおよそ 24 社に拡大した
- 新たに被害を公表した組織は Tines・Deel・Blackbaud・Camunda・Cresta・Lucanet・Link11・AlertMedia など。漏洩したのは主にビジネス連絡先・価格見積もり・営業関連データで、パスワード・決済情報・製品データは含まれない
- 攻撃グループ Icarus の Tor リークサイトが数日前から閲覧不能に。Klue が Icarus と交渉してデータ削除を進めている(身代金支払いの可能性あり)との報告がある
- 最大の新展開は Icarus 自身が別の攻撃者グループに侵害されたこと。窃取データは第三者の手に渡り、第二の恐喝キャンペーンが展開中とされる
- 今回の侵害は Klue の利用顧客最大 195 社に影響している可能性があるとされているが、現時点で Icarus 以外に公式に窃取データの保有を主張している既知の恐喝グループは存在しない
- Salesforce は6月17日以降も Klue Battlecards の連携を再有効化しておらず、Gong も同様に停止中
| 被害確認組織 | 業種 | 漏洩データの内容 |
|---|---|---|
| Huntress | サイバーセキュリティ | ビジネス連絡先・価格見積もり・営業関連メッセージ(脅威データ・パスワード・決済情報は含まない) |
| Recorded Future | 脅威インテリジェンス | 顧客の連絡先(氏名・メールアドレス)・一部ビジネス契約情報 |
| BeyondTrust | 特権アクセス管理 | 調査中 |
| LastPass | パスワード管理 | 調査中 |
| Tines | セキュリティ自動化 | ビジネス連絡先・商談情報・商業的コミュニケーション |
| Deel | 人事・ペイロール | 調査中(Salesforce に限定) |
| AlertMedia | 緊急通報システム | 調査中 |
| Blackbaud | 非営利向けソフトウェア | 調査中 |
| Camunda | ワークフロー自動化 | 調査中 |
| Cresta | AI カスタマーサービス | 調査中 |
| Lucanet | 財務報告 | 調査中 |
| Link11 | DDoS 防御 | 調査中 |
| その他約 12 社 | 複数業種 | 現時点で公表なし |
初動から被害拡大までの経緯—Salesforce OAuth 連携を悪用したサプライチェーン攻撃
2026年6月11日から12日にかけて、攻撃グループ Icarus がレガシーの認証情報を悪用して Klue のバックエンドサーバーに侵入しました。 侵入後に悪意あるコード更新を配置し、顧客各社が Salesforce や Gong・HubSpot などと連携するために使用していた OAuth トークンを一括収集しています。その後、取得した OAuth トークンを使って各社の Salesforce インスタンスに対して REST API 経由で CRM データを大規模に抽出しました。
脅威インテリジェンス企業 ReliaQuest の分析によると、攻撃者は 15 分間に約 1,000 件のクエリを実行した集中バーストと、合計 6 時間以上に及ぶ持続的な抽出ウィンドウを組み合わせ、24 時間の枠内でデータを持ち出しています。
Klue は6月12日に顧客へ通知を送り、全顧客の OAuth トークンを一斉無効化するとともに Salesforce・HubSpot・SharePoint・Zoom・Gong・Chorus・Clari・Google Drive・Slack の 9 サービスとの連携を停止しました。
6月17日には Salesforce 自身が「Klue 経由のアプリ接続に不審な活動を検知した」として Klue Battlecards アプリの連携をプラットフォーム全体で無効化しています。この連携停止は本稿執筆時点(2026年6月26日)でも続いています。
6月23日(月)、Klue は公式にデータ侵害を認め、調査中であると表明しましたが、詳細については現時点でも公式な続報は出ていません。
本件の攻撃手口の技術的詳細と Salesforce 管理者が確認すべき IOC・対応手順は、当サイトの詳細解説記事で整理しています。
攻撃者が攻撃者に侵害される—二重恐喝連鎖の発生
今回の続報で最も注目すべき展開は、攻撃グループ Icarus 自身が別の攻撃者グループに侵害されたという事実です。
6月25日、TechCrunch は Klue が顧客に対して Icarus と接触中であり、Icarus が窃取データを削除し始めていると非公式に通知したと報じています。
Icarus の ダークウェブのリークサイトが数日間閲覧不能になっていること、そのタイミングが Klue との交渉と一致していることから、Klue が身代金を支払った可能性が高いと見られています。
しかし、Klue が Icarus との交渉を進めているとされる同じ時期に、Icarus 自身が別の攻撃者グループに侵害されたとの情報が浮上しました。
Klue によると、Icarus から窃取されたデータが現在は別の脅威アクターの手に渡っており、その第二のグループが独自の恐喝キャンペーンを展開しているとされています。第二のグループが保有しているのはサンプルデータのみとされていますが、Klue との交渉によって Icarus が削除した分のデータが完全に消去されたとしても、第二のグループが保有するデータは別途流出リスクを持ち続けることになります。
今回の侵害が影響を与えている可能性がある Klue の顧客数は最大 195 社とされており、公表済みの約 24 社はその一部に過ぎません。一方、現時点で Icarus 以外にデータの保有を公式に主張している既知の恐喝グループは確認されていません。
今回の事案が示すのは、身代金を支払って攻撃者と交渉したとしても、その攻撃者自身が侵害された場合には情報の流出経路を完全にコントロールすることは不可能に近いという現実です。ランサムウェアや恐喝グループが互いに攻撃し合うことで、被害企業にとっての不確実性がさらに増幅されるという新たなリスクの形態が顕在化しています。
Icarus——2026年4月から活動する新興恐喝グループ
攻撃を主導した Icarus は 2026年4月から活動が確認されている新興の恐喝グループです。Huntress の調査によると、Klue への攻撃後の恐喝メールに「Mr Brean」という人物名と Session Messenger の ID が含まれており、この ID が Icarus の Tor リークサイト上のエントリに関連付けられていたことで帰属が確認されています。
Icarus の手口は過去に Salesloft Drift や Gainsight を経由して Salesforce 顧客データを大規模に窃取した ShinyHunters や UNC6395 の手口と構造的に酷似していますが、Icarus はこれらの既存グループとは別の主体と評価されています。特定の SaaS 連携を足がかりとして複数組織のCRMデータを横断的に収集するというパターンが今回も繰り返されており、Salesforce 連携を持つ SaaS プロバイダーを起点にした攻撃が定常化していることを示しています。
Icarus は窃取した情報を「主にビジネス連絡先とサポートデータ」として位置づけ、Klue とその顧客のいずれに対しても公開をちらつかせて身代金を要求するという二段階の恐喝を行っています。通常のランサムウェアグループとは異なり、システムを暗号化するのではなくデータの公開・削除を取引材料にする「データ恐喝のみ型」の手口が特徴です。
Salesforce を起点とするサプライチェーン攻撃の連鎖と情報システム部門への教訓
今回の Klue/Icarus 事案は、Salesforce 連携を持つ SaaS プロバイダーを起点にした攻撃が 2025〜2026 年にかけて繰り返されているという構造的なパターンの最新例です。
Salesforce 本体には脆弱性がないにもかかわらず、連携 SaaS 側に保存・使用されている OAuth トークンを悪用されることで、Salesforce 上の CRM データが横断的に流出するという構造は 2025 年8月の Salesloft Drift 事案、2025 年 11 月の Gainsight 事案、そして今回の Klue 事案と三度繰り返されています。Salesforce は一貫して「自社プラットフォームの脆弱性ではなく、連携先 SaaS 側の問題」との立場を崩していませんが、ユーザー企業側の実害は変わらず蓄積されています。
Klue を利用していた組織でまだ対応が済んでいない場合は、まず Salesforce および Gong 上の Klue 関連の OAuth トークン・アクセス許可を失効・再発行するとともに、Salesforce のAPIアクセスログでPython-urllib を使用した異常なクエリや攻撃者 IP(138.226.246.94 / 212.86.125.24 / 213.111.148.90 / 94.154.32.160)からのアクセスがなかったかを確認してください。詳細な対応手順と IOC についてはKlue-Salesforce 攻撃の技術的解説記事を参照してください。
出典
- More Klue Breach Victims Identified as Hackers Get Hacked – SecurityWeek・Ionut Arghire(2026年6月26日)
- Cybersecurity Firms Impacted by Klue Supply Chain Attack – SecurityWeek(2026年6月19日)
- BeyondTrust, LastPass Impacted by Klue-Salesforce Incident – SecurityWeek
- The impact of the Klue breach on Tines and our customers – Tines公式ブログ・Thomas Kinsella(2026年6月18日)
- The impact of the Klue-Salesforce Security Breach Investigation on Deel – Deel公式ブログ
- Hacked Klue says criminals are deleting stolen customer data, but now other hackers are making threats – TechCrunch(2026年6月25日)
- Huntress Klue Breach Investigation – Huntress公式ブログ
- Threat Spotlight: Integration Abused in CRM Data Theft – ReliaQuest(2026年6月)
- Salesforce Status – Klue Battlecards App 停止に関する通知(2026年6月17日)
関連記事
Huntress・Recorded Future含む複数企業がKlue経由のサプライチェーン攻撃で被害
Klue Battlecardsを起点としたサイバー攻撃がSalesforceへ波及
Microsoft Defender のゼロデイ 脆弱性 3件がサイバー攻撃に悪用-BlueHammer・RedSun・UnDefend(CVE-2026-33825)
Salesforce(セールスフォース)とSalesloft Drift 連携で拡がるサプライチェーン サイバー攻撃の解説
篠崎運輸がサイバー攻撃と不正アクセスで情報漏洩か サルコーマが犯行声明
Salesforce(セールスフォース)とSalesloft Drift関連のサイバー攻撃による情報漏洩、カリフォルニア州で提訴
Salesforce(セールスフォース)へサイバー攻撃-ハッカーによる不正アクセスで情報漏洩か-シスコ/トヨタ/富士フイルム/Googleに影響か
ランサムウェア BlackSuit(ブラックスーツ)とは 概要や事例、国などを解説
【2025年】ゼロデイ攻撃の事例
