Salesforceの顧客狙った大規模なデータ窃取キャンペーン

nosa

2025.08.28

8月28日：サイバーセキュリティ関連ニュース

Salesforceの多数顧客が大規模なデータ窃取キャンペーンの被害に

SecurityWeek – August 27, 2025

8月上旬に発生した大規模なキャンペーンで、Salesforceの顧客多数からデータが窃取されていたことが判明した。Google脅威インテリジェンスグループ（GTIG）が警告している。

GTIGによると、この攻撃はSalesforceコアプラットフォームの脆弱性を悪用したものではなく、サードパーティ製AIチャットボット「Salesloft Drift」の侵害されたOAuthトークンを利用していたとのこと。UNC6395として追跡される脅威アクターの関与が疑われ、2025年8月8日から8月18日にかけて攻撃が実行されている。

UNC6395の主な目的は認証情報の収集と思われ、AWSアクセスキーやパスワード、Snowflake関連のアクセストークンを含むシークレットおよび機微情報を奪うため、盗まれた情報を探していたようだ。

侵害指標（IoC）を公開しているSalesloft、そしてAppExchangeからDriftを削除したSalesforceも、今回のインシデントの影響は限定的と考えているという。しかし、GTIGはより広範な影響を想定すべきと主張し、侵害の兆候を確認した上で、Salesforceオブジェクトに含まれるすべての認証情報とシークレットをローテーションするよう勧告している。

ハッカーが信頼を悪用し、AI作成のEメールを使ってScreenConnectを展開

SecurityWeek – August 27, 2025

正規のリモート監視・管理（RMM）ソフトウェア「ConnectWise ScreenConnect」が複数のフィッシングキャンペーンで悪用されている事実は、AIを活用したソーシャルエンジニアリングの巧妙さ、規模、危険性を浮き彫りにしている。

SecurityWeeksの記事には、ScreenConnectを悪用した進行中の脅威事例によって、AIを駆使して大規模かつ高度化するソーシャルエンジニアリングや、セキュリティ対策を欺くための信頼とステルス性の利用、そして専門化されたCaaS（クライム・アズ・ア・サービス）エコシステムの最大限の活用という、現代サイバー犯罪の主な側面が明らかになっていると記された。

このRMMソフトを悪用するキャンペーンはそれぞれ詳細が異なるものの、フィッシングによってScreenConnectが展開され、被害組織へのリモートアクセスと制御が可能になる基本プロセスはどれも変わらない。研究者の調査により、世界中で900以上の企業・組織が標的にされていることも判明している。

攻撃の発端は正規メールアカウントへの侵入で、これはフィッシング攻撃だけでなく、情報窃取型マルウェアのログなどをCaaSの闇市場から購入して行われているようだ。そして侵害された正規アカウントから、AIで作成したフィッシングメールが送られる。Zoomミーティングへの招待などに見せかけたこのEメールには受信者のセキュリティツールを作動させるような要素がなく、文章の品質自体も疑いを抱かせるようなものではない。しかし、Zoom最新版のダウンロードボタンとされるものを受信者がクリックすると、ScreenConnectをダウンロードするためのページに飛ばされるようになっているという。

Microsoft Teamsでも同様のアプローチが用いられ、こちらは会議への招待に紛れ込ませてTeams最新版のダウンロードを促す。ターゲットが「最新バージョンをダウンロード」ボタンなどに偽装された有害リンクをクリックすると、実際には外部サイトへリダイレクトされ、TeamsではなくScreenConnectをダウンロードしてしまう仕掛けだ。さらに攻撃者は単一の標的にとどまらず、ラテラルフィッシングによって侵害範囲を拡大していくという。

米セキュリティ企業Abnormal AIの脅威インテリジェンス責任者は「攻撃者は同僚、ビジネスパートナー、サプライヤー、そして侵害されたユーザーが定期的にやり取りするすべての相手にフィッシングメールを送信し、信頼関係を効果的に武器化している」と指摘した。「既存のスレッドに有害なリンクや添付ファイルを挿入することで信頼性を高め、フィッシングの発見をはるかに困難にしている」

なお、AbnormalはScreenConnectに関する調査（PDF）を公開している。