Zscaler、Salesloft Driftへの不正アクセスで一部顧客の情報が漏洩した可能性

セキュリティニュース

投稿日時: 更新日時:

Zscaler、Salesloft Driftへの不正アクセスで一部顧客の情報が漏洩した可能性

2025年8月下旬、Salesloft Drift(マーケティングSaaS)に保存・連携されていたOAuthトークンが窃取され、複数社のSalesforce環境に不正アクセスが行われました。これによりZscalerでも当該トークンを起点にSalesforce内の一部情報へ限定的アクセスが発生しました

関連記事:Palo Alto Networks(パロアルトネットワークス)、Salesloft Driftへの不正アクセスで顧客情報が流出

Zscalerの初動と追加対策

8月下旬、Salesloft Drift(マーケティングSaaS)に保存・連携されていたOAuthトークンが窃取され、複数社のSalesforce環境に不正アクセスが行われ広範囲のソフトウェアサプライチェーン攻撃として拡大しています。

Zscalerでも当該トークンを起点にSalesforce内の一部情報へ限定的な不正アクセスが発生。

確認された対象は、

・担当者の氏名

・業務メール

・役職

・電話番号

・所在地

・製品ライセンス/商流情報

そして一部サポートケースのテキスト本文(添付・ファイル・画像は含まず)です。

Zscalerのプロダクトや基盤への侵入は確認されておらず、現時点では流出情報の悪用兆候は見つかっていません

関連:SalesforceとSalesloft Drift 連携で拡がるサプライチェーン サイバー攻撃の解説

攻撃の全体像(Googleの技術分析)

Google Threat Intelligence Group(GTIG)は、本件をUNC6395による広範なデータ窃取キャンペーンと位置付けています。8月8日〜18日に、Driftに保存・接続されていたOAuth/リフレッシュトークンを悪用してSalesforceへAPI/ SOQLクエリを実行し、Account/Opportunity/User/Caseなどから大量のデータをエクスポート。

AWSアクセスキー(AKIA)やSnowflakeトークン、パスワード断片といった秘匿情報を検索していたことが示されています。8月28日の更新では、Drift Email連携のトークンも侵害され、一部構成でGoogle Workspaceメールへのアクセスが発生した可能性が示されました(Driftと連携設定済みの少数アカウントに限定)。Salesforce本体の脆弱性が原因ではない点も明記されています。

さらにGoogleは、Driftを使用しているすべての組織に対し、プラットフォームに保存されている、またはプラットフォームに接続されているすべての認証トークンを侵害されたものとして扱うよう強く求めています

この警告では利用ユーザーへ、これらのアプリケーションの認証情報を失効させてローテーションし、接続されているすべてのシステムで不正アクセスの兆候がないか調査するよう推奨しています。 

参照

Zscaler公式