はじめに
今回は今年最大と言われているのSaaSセキュリティインシデントに触れながら、新たな脅威のポイントについてお話させていただきます。
最新の調査結果では、世界的ハッカー集団UNC6395による攻撃で、SalesforceとGmailのインスタンス両方が侵害されていることが判明しました。この攻撃は700社以上に影響を与えており、その数は増加し続けています。
過去にもSalesforceを標的とした攻撃(フィッシングやソーシャルエンジニアリングなど)は確認されていましたが、今回の攻撃は異なります。ハッカーは、個別の企業を狙う代わりに、サードパーティの統合機能(インテグレーション)を悪用することで、侵害の規模と影響範囲を大きくに拡大させました。
被害企業のほとんどがテクノロジー企業やソフトウェア企業であることから、一つひとつの侵害が連鎖的なサプライチェーン攻撃の引き金となる、極めて重大なリスクを抱えていることを表明するインシデントとなっております。
サプライチェーン攻撃の危険性とUNC6395の詳細な手口
UNC6395による侵害の具体的な流れ
今回のUNC6395による攻撃は、以下の段階を経て、多数の顧客に被害を拡大させました。
-
初期侵入(GitHubアカウントの侵害):
-
2025年3月から6月にかけて、脅威アクターがSalesloftのGitHubアカウントに不正アクセスしました。
-
このアクセスを利用し、同アクターは複数のリポジトリからコンテンツをダウンロードすること、ゲストユーザーを追加すること、また不正なワークフローを確立することが可能にしました。
-
-
偵察活動の実施とセグメンテーションの確認:
-
同時期(3月〜6月)に、SalesloftおよびDriftのアプリケーション環境内で偵察活動が行われました。
-
-
顧客データへの不正アクセス:
-
その後、同脅威アクターはDriftのAWS環境へアクセスし、Drift顧客のテクノロジー統合に関するOAuthトークンを窃取しました。
-
攻撃者はこのトークンを利用し、Driftの統合機能を経由して顧客のデータへ不正にアクセスしました。
-
サプライチェーン攻撃の危険性:なぜ大規模な被害が出たのか
SaaSにおけるサプライチェーン攻撃は、特定の企業だけを標的にしないという点で特に危険です。攻撃者は、信頼されている単一の供給元(ベンダー)を侵害することで、そのベンダーの全ての顧客へのアクセスを獲得しようとします。
ベンダーが侵害されると、その影響は瞬時に、そして大規模に拡大し、数百あるいは数千の組織に及ぶ可能性があります。
| 従来の攻撃 (例: フィッシング) | サプライチェーン攻撃 (UNC6395) |
| 顧客ごとに、個別のSalesforceインスタンスを侵害する必要があった。 | 単一のベンダー(Salesloft)を侵害するだけで済む。 |
| ベンダーが持つSalesforce連携機能を利用し、そこから顧客企業(ダウンストリーム)へ容易に侵入する。 | 被害の規模が10倍以上に拡大。 |
過去のOktaサポートシステム侵害事例と同様に、今回のSalesloft侵害も、信頼されたサプライヤーを足がかりに、その顧客基盤全体を危険にさらすというパターンを踏襲しています。
Obsidianではこんなことができます
脅威アクターは、多くの組織にとって大きな盲点となっているサードパーティのSaaS統合機能を標的にしています。単一のSaaSプラットフォームだけを保護するだけでは不十分であり、全SaaS環境にわたる企業全体の可視性が不可欠です。
組織は、他の重要システムと同様の厳格さをもってSaaS環境にも対応すべきです。Obsidian Securityは以下の対策を推奨します。
1. 可視性の確立
ユーザー、アクセス、および統合機能について企業全体のSaaS環境を可視化します。活動を一貫したベースラインと比較し、異常を迅速に特定できるようにします。また、検出したSaaSはそのカテゴリや統合度合いからリスクを分析し、確認することが可能です。アクセスブロック機能を用いて、ガバナンスを効かせることもできます。
2. 統合機能の監査
SaaS-to-SaaSの接続を継続的に監視します。さらに過剰な権限が与えられているか、接続しているSaaSのカテゴリ等の要素から、その連携のリスクを分析、評価し、統合の連携の安全性を継続的に把握可能です。
3. プラットフォーム横断的な活動の監視
個別のアプリケーション内だけではなく、SaaS環境全体で異常な行動を検知し、調査を行います。SaaSのログイン等に使用するID/PasswardのHumanIDだけではなく、SaaS間連携で使用されるOAuthトークンの振る舞いも常時監視し、異常があればアラートをあげます。
4. 設定ミスの継続的な監視
さらにObsidian Securityは、ID脅威検知の部分だけではなく、SSPM(SaaS Security Posture Management)機能を有しています。これはセキュリティ設定の意図しない変更(設定不備)をリアルタイムで検知し、修正手順まで提示します。これにより、意図しない情報漏洩等のリスクを最小限に抑えることが可能になります。また、様々な業界コンプライアンス基準にも対応しており、 各SaaSの複雑な規制基準(SOC 2、NIST 800-53など)への準拠状況を確認できます。
まとめ
今回のUNC6395による大規模な侵害は、SaaS間の連携機能を悪用することで従来の対策をすり抜け、被害を爆発的に広げるという、現代のサプライチェーン攻撃の極めて深刻な実態を浮き彫りにしました。もはや単一のプラットフォームを保護するだけでは不十分であり、アプリ間の接続リスクや複雑な設定の不備を全社横断的に可視化し、リアルタイムで監視する包括的な防御体制の構築が急務となっています。Obsidian Securityは、こうした「セキュリティの盲点」を排除し、連鎖的な攻撃から貴社の重要なデータ資産を強固に守るための最適なソリューションを提供いたします。
SSPMのご検討や、本ソリューションにご興味のある方は、以下のリンクよりお問い合わせをお待ちしております。
