サードパーティアプリ連携を悪用したSalesforceデータの窃取キャンペーンがまたも発生

サードパーティアプリ連携を悪用したSalesforceデータの窃取キャンペーンがまたも発生

DarkReading – June 19, 2026

サードパーティアプリ連携を悪用したSalesforceインスタンスの侵害キャンペーンが発生。今回はKlue製バトルカード（Battlecards）アプリを通じて攻撃が行われ、HuntressやRecorded Future、Tanium、Jamfなどのセキュリティベンダーを含む多数のSalesforce顧客組織が影響を受けたという。

この攻撃について分析したReliaQuestのブログ記事によると、攻撃者は、KlueのOAuthトークンを使ってSalesforceインスタンスへアクセスし、顧客データを盗み取っていたとされる。今回の攻撃は、2025年から2026年にかけてSalesforceのエコシステムに衝撃を与えたSalesloft DriftやGainsightへの侵害と同様、サードパーティのOAuth悪用という手口を踏襲したものだとReliaQuestは指摘。「信頼されているSaaS（Software-as-a-Service）の連携機能が、高価値ながらも監視が不十分な機微なデータへの到達経路であり続けていること」を今回の侵害が改めて浮き彫りにしていると述べた。

ReliaQuestが観測した攻撃において、攻撃者は、標的のKlue統合サービスアカウントに認証を行い、OAuthトークンを生成し、自動化されたスクリプトと思われるものを実行して、約24時間にわたりSalesforce REST APIを通じて大量のCRMレコードを抽出したとされる。少なくとも1つの環境に対しては、15分間に1,000件近くのクエリが集中的に実行されたほか、6時間以上にわたって抽出が持続したケースもあったという。ReliaQuestは、この集中攻撃はステルス性を犠牲にして速度を優先したものであったと指摘。「時間的制約があったか、あるいは標的を特定のレコードに切り替えたことを示唆している」との見解を示している。

セキュリティベンダーのHuntressは、この攻撃キャンペーンで自社のSalesforce関連データが侵害されたことを明かしている。攻撃者によりコピーされたデータには、「取引先の連絡先、見積書、その他の営業関連データやメッセージ」が含まれているという。

また同社によれば、今回の「大規模サプライチェーン攻撃」では、攻撃者がKlueのマーケットインテリジェンスプラットフォームのバックエンドを侵害したとされる。6月11日に始まったこのKlueの侵害は、「長らく使用されていなかったが、依然として有効な認証情報」に起因するとされる。この認証情報は、Klueがサードパーティ統合機能をテストするために作成したもので、攻撃者はこの認証情報を利用してKlueの環境へのアクセス権を取得したとみられている。

Salesforceインスタンスを狙った過去の同様の攻撃はサイバー犯罪グループShinyHuntersによるものとされているが、今回のKlueアプリ連携を悪用した攻撃は、「Icarus」という別のグループによるものとみられている。Icarusは4月に登場したばかりの新しい脅威グループで、データリークサイトでは被害組織を1つしか掲載していない。しかし6月12日付の投稿には、「大企業を掲載予定。備えよ」とのメッセージが記されていた。

Huntressによれば、同社は6月16日に攻撃者からの恐喝メールを受信。メールに含まれていたメッセージングプラットフォームSessionのIDは、Icarusのダークウェブリークサイトに掲載されていた値と一致していたという。同社はまた、このメールがオーストラリア企業「Global Retail Brands」のコーポレートメールドメイン3件から送られてきていたことも明かした。攻撃者はGlobal Retail Brandsのインフラを侵害し、メールサーバーを悪用したものとみられており、Huntressはその旨をオーストラリアの国家サイバーセキュリティセンターに報告済みだという。

Salesforceeも今回の攻撃について顧客へのアラートを発出してKlueアプリとの統合を停止したことを通知。一部の顧客のデータが不正なアクセスを受けた可能性があるとしつつ、「問題はKlue製アプリの接続に限定されており、Salesforceプラットフォーム内部の脆弱性に起因するものではない」と伝えている。

今回の侵害に関する調査が続けられる中、ReliaQuestは各組織に対し、「サービスアカウントのパスワード、リフレッシュトークン、クライアントシークレット、および有効なOAuthグラントなど、Klueとの連携に関連するすべてのものを直ちに無効化し、再発行する」よう強く求めている。またセキュリティチームに対しては、Salesforce APIのアクティビティを精査してREST APIクエリの異常な増加やその他の不審な動きがないかを確認するとともに、サードパーティの連携アカウントや接続済みアプリに対してIPアドレスの許可リストを適用し、承認されたソース以外からのアクセスをすべてブロックするよう推奨した。