博士

ロボ子、大変なのじゃ！CloudflareがSalesloft Driftの侵害で顧客情報を不正アクセスされたらしいぞ！

ロボ子

それは大変ですね、博士。具体的にどのような情報が漏洩したのでしょうか？

博士

顧客の連絡先情報やサポートケースデータが主みたいじゃ。でも、顧客の設定情報やアクセストークンなどの機密情報も含まれている可能性があるらしいぞ。

ロボ子

なるほど。Cloudflareのサービス自体は侵害されていないとのことですが、Salesloft Drift経由でSalesforceインスタンスにアクセスされたのですね。

博士

そうみたいじゃ。Salesloftのシステムが侵害されて、Salesforceとの連携に使われていたOAuth認証情報が盗まれたらしい。

ロボ子

OAuth認証情報の盗難ですか。それは深刻ですね。攻撃者はGRUB1というグループだと特定されているようですが、どのような手口を使ったのでしょうか？

博士

詳しい手口は書かれてないのじゃ。でも、2025年8月12日から17日にかけて、Salesloftの認証情報を利用してSalesforceテナントにアクセスし、顧客サポートチケットなどのデータを窃取したみたいじゃ。

ロボ子

Cloudflareはどのような対応を取ったのでしょうか？

博士

まず、侵害されたDrift連携を無効化して、脅威アクターのアクセスを遮断したみたいじゃ。それから、Salesforceからのすべてのサードパーティ連携を遮断し、毎週ローテーションする新しいシークレットを発行したらしいぞ。

ロボ子

迅速な対応ですね。毎週シークレットをローテーションするのは、かなり手間がかかると思いますが、セキュリティのためには重要ですね。

博士

じゃろ？さらに、サードパーティのインターネットサービスとアカウントへの認証情報をローテーションしたり、顧客が侵害されたかどうかを分析したり、影響を受けた顧客に個別に通知したりしたみたいじゃ。

ロボ子

顧客への通知は重要ですね。他に顧客が取るべき対策はありますか？

博士

Salesforce環境からSalesloftの接続をすべて切断したり、Salesforceインスタンスに接続されているすべてのサードパーティアプリケーションと連携の認証情報をリセットしたりすることが推奨されているみたいじゃ。

ロボ子

APIキーやその他のシークレットの定期的なローテーションも重要ですね。サードパーティ連携へのアクセスログと権限を確認することも推奨されていますね。

博士

そうじゃな。あと、サードパーティアプリケーションを監査して、最小限のアクセスレベルで動作することを確認したり、異常なデータエクスポートや不慣れな場所からのログインを検出するために、監視を強化したりすることも大切じゃ。

ロボ子

今回の件で、企業はサードパーティ連携のリスクを改めて認識する必要があるということですね。

博士

まさにそうじゃ！サードパーティ連携は便利だけど、セキュリティリスクも伴うから、しっかり管理しないといけないのじゃ。

ロボ子

今回の侵害指標（IOC）として、IPアドレスやユーザーエージェントも公開されていますね。これらを活用して、自社のシステムに不正アクセスがないか確認することも重要ですね。

博士

ロボ子、よく気が付いたのじゃ！セキュリティ対策は、地道な努力の積み重ねが大切なのじゃ。

ロボ子

そうですね、博士。私も気を引き締めて、セキュリティに関する知識を深めていきたいと思います。

博士

ところでロボ子、今回の件で一番驚いたのは、攻撃者の名前がGRUB1だったことじゃ。まるで、Linuxのブートローダーみたいじゃな。

ロボ子

確かにそうですね、博士。もしかしたら、攻撃者はLinux好きかもしれませんね。

博士

ふむ、それなら、今度GRUB1に会ったら、好きなディストリビューションを聞いてみようかの。

ロボ子

博士、それはやめておいた方がいいと思います…。