SalesloftのGitHubアカウント、不正アクセス受けていた　Drift経由のデータ窃取攻撃めぐり

佐々山 Tacos

2025.09.08

SalesloftのGitHubアカウント、不正アクセス受けていた　DriftのOAuthトークン使うサプライチェーン攻撃めぐり

Salesloft – September 6, 2025

Salesloft Driftの侵害を伴う最近のサプライチェーン攻撃に関する新たな調査結果を、Salesloftが公表。SalesloftのGitHubアカウントが攻撃者による不正アクセスを受けていたことや、2025年3月から6月の間に偵察行為が行われていたことなどが明らかになったという。

このサプライチェーン攻撃キャンペーンは、SalesloftのAIチャットボット「Drift」から盗んだOAuthトークンを使い、Driftが連携されているSalesforceインスタンスからデータを窃取するというもの。これまでに、ZscalerやPalo Alto Networks、Cloudflare、Tenable、Proofpointなどの複数企業がこの攻撃の影響を受けたことを認めている。

そんな中、Salesloftは9月6日にインシデント通知を更新し、Mandiantに依頼していた調査の結果を公表。これはインシデントの根本原因とスコープを判定することを目的として行われた調査で、MandiantがSalesloftの環境を検証した結果、以下のことがわかったとされている。

2025年3月から6月にかけて、脅威アクターがSalesloftのGitHubアカウントに不正アクセス。このアクセスを利用し、同アクターは複数のリポジトリからコンテンツをダウンロードすること、ゲストユーザーを追加すること、またワークフローを確立することができたという。
SalesloftおよびDriftのアプリケーション環境内で、3月〜6月の間に偵察活動が行われていた。ただ、Salesloftのアプリケーション環境に関連する限定的な偵察以上のことが実施された証拠は見つからなかったとされる。なお、SalesloftおよびDriftのアプリケーション環境とインフラ環境の間には技術的なセグメンテーションが存在することをMandiantが確認済み。
その後、同脅威アクターはDriftのAWS環境へアクセスし、Drift顧客のテクノロジー統合に関するOAuthトークンを窃取。このトークンを利用し、Drift統合を経由して顧客のデータへ不正にアクセスしたとされる。

Salesloftは封じ込めおよび根絶措置を実施済みであり、Mandiantの調査でもインシデントが封じ込まれたことを裏付ける発見が得られたとのこと。