Salesforce、Gainsightアプリを介した顧客データへの不正アクセスについて調査

佐々山 Tacos

2025.11.21

Salesforce、Gainsightアプリを介した顧客データへの不正アクセスについて調査

BleepingComputer – November 20, 2025

Salesforceは11月20日の12時57分（日本時間）にステータスページを更新し、Salesforceに接続されたGainsight製アプリに関わる「異常なアクティビティ」が特定されたために調査を行っていることを公表。このアクティビティにより、特定の顧客のSalesforceデータへの不正アクセスが可能になっていた恐れがある旨を伝えた。

Salesforce社は異常を検出後、Gainsightが公開しているアプリに紐づけられたアクティブなアクセス／リフレッシュトークンをすべて無効化し、同社のアプリストアAppExchangeから該当するGainsightのアプリを一時的に削除したと述べている。

Salesforceによれば、今回の悪意ある活動は同社のCRMプラットフォームにおける脆弱性に起因するものではなく、Salesforceに外部接続されたGainsight社のアプリが関連していることが証拠により示されているという。これらのアプリは、Salesforceの顧客により直接インストール・管理されているもの。同社はこのインシデントにより影響を受けるすべての顧客に通知し、さらなるサポートが必要な場合は同社のヘルプチームまで問い合わせるよう求めた。

一方Gainsightは11月20日の12時53分（日本時間）にステータスページで「Salesforce接続障害の報告について調査中」である旨を公表。その40分後にページを更新し、SalesforceがGainsight SFDC Connectorに対するアクティブアクセスを無効化したことが障害の原因であると伝え、その後も数回ページを更新し、調査がまだ続いていることなどを伝えた。また21日の午前5時36分のアップデートでは、HubSpotマーケットプレイスからも同社アプリが一時的に取り下げられていることに言及。HubSpotに関連する疑わしい挙動は現時点で観測されてはいないが、予防措置としてこの対応が行われたと述べた。

10時56分に公開された最新のアップデートでは、追加でZendeskコネクタへのアクセスも予防措置として無効化された旨とともに、調査が続いている旨が伝えられている。また併せて、本インシデントに関するFAQページへのURLも提供された。このFAQページによれば、Salesforceが観測した「疑わしいアクティビティ」とは、「ホワイトリストに登録されていないIPからの、接続済みGainsightアプリを使ったAPIコール」で、現時点で影響を受けることがわかっている組織は3つのみだという。

SalesforceもGainsightも攻撃者が誰なのかといった詳細は明かしていないが、BleepingComputer紙は「2025年8月のSalesloftに関連する侵害」に類似していると指摘。この8月のキャンペーンでは、「Scattered Lapsus$ Hunters」と名乗る恐喝グループが、Salesforceに統合されたSalesloft製AIチャットエージェント「Drift」の盗難OAuthトークンを悪用し、数百ものSalesforce顧客のインスタンスからパスワードやAWSのアクセスキー、Snowflakeのトークンといった機微な情報を盗み出していた。

恐喝グループ「ShinyHunters」とメッセージを交わしたBleepingComputerによれば、同グループは今回のGainsightアプリに関連する侵害も自身によるものだと主張。Salesloft Drift関連の侵害で盗み出したシークレットを使い、Gainsightを侵害して285件のSalesforceインスタンスへのアクセスを新たに獲得したと述べたという。なお、Gainsightは9月にこの攻撃で同社のSalesforceインスタンスが侵害されたことを認めており、名前や業務用メールアドレス、電話番号、地域／所在地情報、ライセンス情報、サポートケースのコンテンツなどの業務用連絡先情報が不正アクセスを受けたと報告していた。

また、Googleの脅威インテリジェンスグループ（GTIG）のプリンシパル脅威アナリストであるAustin Larsen氏も、ShinyHunters関連の脅威アクターによりGainsightのOAuthトークンが侵害された様子が観測されており、これによりSalesforceの顧客のインスタンスへの不正アクセスが実現した可能性があるとLinkedIn上で報告。また組織に対し、Salesforceインスタンスに接続されたすべてのサードパーティアプリをレビューすること、使用されていない、または疑わしいアプリのトークンを失効させること、そして異常な挙動が検出された場合にはすぐに認証情報をローテーションすることを推奨した。