8月後半から、Salesloftに起因するインシデントが世間を騒がせています。この記事では、Salesloftインシデントの背景と、現時点でどの様なことが起こっているかを簡単にまとめます。情報に更新があった場合にはこちらの記事も更新します。
「未経験からでもホワイトハッカーになれる!」実践的セキュリティスクール「セキュ塾」
- サイバーセキュリティ技術者育成コース(2025年10月生募集中)
- ホワイトハッカー育成コース(2025年10月生募集中)
- 脅威インテリジェンス育成コース(受講生随時募集中)
Salesloftについて
Salesloft社及びSalesloftプラットフォーム
Salesloftは、米国のSalesloft社が提供するセールスエンゲージメントプラットフォームです。
営業プロセスの自動化やパイプラインの構築、営業活動の分析、リードの育成などを統合的に支援します。プラットフォーム内にはメールや電話、オンラインミーティングといったツールがまとめられており、営業職の方はプラットフォーム内でリサーチや商談、アプローチなどを実行できます。
Salesloft Drift (今回問題が発生したツール)
Salesloft Drift AI チャット エージェントは、顧客のサイトに埋め込むタイプのチャットbotになります。
この製品により、サイトの訪問者の質問に正確かつ即座に回答を提供することで、見込み客のエンゲージメントを維持し、離脱率を低減することが可能になります。またサイトを運営する側の担当者にとっても、リードを即座に選別し、購入者が担当者と直接チャットしたり、面談を予約したりが可能です。
このSalesloft Driftを使用しているユーザ(正確にはSalesloft DriftとSalesforceを連携しているユーザ)に今回問題が発生しています。Driftのエージェントなどの脆弱性起因ではなく、GitHubの侵害によるものの可能性が報告されています。
Salesloftのインシデント
Salesloftのインシデントを以下にまとめます。情報源としては
- Salesloft: Salesloft+Drift Trust Portal
- Google(Mandiant): Widespread Data Theft Targets Salesforce Instances via Salesloft Drift
- Cloudflare: Salesloft Driftの侵害がCloudflareおよび当社のお客様に与える影響
となります。
脅威アクター UNC6395(別名GRUB1)
今回の脅威アクターを、Google Threat Intelligence Group (GTIG)ではUNC6395と命名しています。また、Cloudforce One(Cloudflareの脅威インテリジェンスおよび研究チーム)では、この脅威アクターをGRUB1と命名しています。
以降、本記事では本件の脅威アクター名をUNC6395で統一します。
時系列
| 2025年3月〜6月 | UNC6395がSalesloftのGitHubアカウントにアクセスしていた模様。どの様にアクセスしたかは現時点では不明。これにより複数のGitHubリポジトリから情報を取得できた。 | Salesloft |
| 2025/08/08〜2025/08/18 | UNC6395がSalesloft Driftに関連付けられた侵害されたOAuthトークンを通じて、Salesforceの顧客インスタンスを標的としていた | GTIG |
| 2025/08/09 | UNC6395が入手した「Drift Email」統合用のOAuthトークンを用いてGoogle Workspaceを侵害 | GTIG |
| 2025/08/09 | UNC6395がCloudflareに対して初期偵察活動を行う | Cloudflare |
| 2025/08/12〜2025/08/17 | UNC6395がCloudflareのSalesforceテナントのデータを不正に取得し、持ち出していた。持ち出されたものは、Salesforceケースオブジェクトに限定されており、Salesforceテナント内のお客様のサポートチケット・サポートケースに対応するお客様の連絡先情報・ケース件名・対話内容が含まれますが、ケースの添付ファイルは含まれていないとのこと。 | Cloudflare |
攻撃の詳細
本攻撃ですが、Cloudflare製品の脆弱性を利用したものではない模様で、どうやらGitHubアカウントを侵害した模様です。以下は、Salesloft, GTIG及びCloudforce ONEの情報からまとめています。
- UNC6395は、2025年3月から6月にかけてSalesloftのGitHubアカウントにアクセスしていました。どうやってGitHubアカウントにアクセス出来たかは現時点では不明です。このアクセスにより、脅威アクターは複数のGitHubリポジトリからコンテンツをダウンロードし、ゲストユーザーを追加し、ワークフローを確立することができました。また、現時点での調査では、偵察活動以外の活動(コード改変など)は発見されていない模様です。
- 次にUNC6395はDriftのAWS環境にアクセスし、Driftの顧客のOAuthトークンを取得しました。
- この取得したOAuthトークンを使用して、DriftとSalesforceの統合環境を介してデータにアクセスしました。2025年8月8日から少なくとも8月18日まで、上述で取得したOAuthトークンを用いてSalesforceの顧客インスタンスから大量のデータをエクスポートしていた模様です。
- 攻撃者は盗み出したデータ内を検索して、被害者の環境で使用できるような秘密情報を探していました。GTIGは、UNC6395がAWSアクセスキー(AKIA)やパスワード、Snowflake関連のアクセストークンなどの機密認証情報を標的としていることを確認しました。
IoC
Salesloft社のブログでは、いくつかのIoCが取り上げられています。以下のIPアドレスからのアクセスや、ログでのユーザエージェント接続履歴に気をつけた方が良い模様です。最新の情報はSalesloft社のブログを確認することをお勧めします。
IPアドレス
- 154.41.95.2
- 176.65.149.100
- 179.43.159.198
- 185.130.47.58
- 185.207.107.130
- 185.220.101.133
- 185.220.101.143
- 185.220.101.164
- 185.220.101.167
- 185.220.101.169
- 185.220.101.180
- 185.220.101.185
- 185.220.101.33
- 192.42.116.179
- 192.42.116.20
- 194.15.36.117
- 195.47.238.178
- 195.47.238.83
- 208.68.36.90
- 44.215.108.109
ユーザーエージェント文字列
- python-requests/2.32.4
- Salesforce-Multi-Org-Fetcher/1.0
- Python/3.11 aiohttp/3.12.15
影響範囲
2025/08/21 11:30のSalesloft社の発表によると、本件はSalesforceと連携していないDriftのお客様には影響しないとのことです。
また、いわゆるサプライチェーン的な形で被害は広がっており、TheHackerNewsによると、2025/09/03時点で以下のベンダーが被害を受けています。
- BeyondTrust
- Bugcrowd
- Cato Networks
- Cloudflare
- CyberArk
- Dynatrace
- Elastic
- Esker
- Fastly
- Google Workspace
- Heap
- JFrog
- Megaport
- Nutanix
- PagerDuty
- Palo Alto Networks
- Proofpoint
- Qualys
- Rubrik
- SpyCloud
- Tanium
- Tenable
- Workiva
- Zscaler
参考情報
- Salesloft: Salesloft社のサイト
- Salesloft: Salesloft Drift
- Salesloft: Salesloft+Drift Trust Portal
- Google(Mandiant): Widespread Data Theft Targets Salesforce Instances via Salesloft Drift
- Cloudflare: Salesloft Driftの侵害がCloudflareおよび当社のお客様に与える影響
- The Hacker News: Salesloft Takes Drift Offline After OAuth Token Theft Hits Hundreds of Organizations
- The Hacker News: GitHub Account Compromise Led to Salesloft Drift Breach Affecting 22 Companies
