2025年9月2日、Cloudflare（クラウドフレア）は、Salesloftのチャットボット「Drift」との統合を悪用した一連の攻撃により、同社のSalesforce環境（顧客サポート・ケース管理）に不正アクセスが発生し、一部顧客情報が漏洩したことを発表しました。

不正アクセスの概要

攻撃者はSalesloft側の不正アクセスによって、DriftのSalesforce連携に使用されるOAuth資格情報を入手。これを用いて複数企業のSalesforceからデータを抽出しました。

Cloudflareが使用するSalesforceの「ケース」オブジェクトにおけるテキストフィールド（件名、本文、連絡先など）がデータ持ち出し（エクスフィルトレーション）の対象となりました。添付ファイルは漏洩しておらず、Cloudflareの製品・サービスや基盤自体への侵入は確認されていません。

漏洩データの中からCloudflare APIトークン104件が検出され、全件ローテーション済みです。影響を受けた顧客には個別通知が行われました。ケース本文にログやトークン、パスワード等を記載していた場合は、即時ローテーションが推奨されます。

Cloudflareの脅威インテリジェンス「Cloudforce One」は、攻撃者を「GRUB1」と特定。これはBtoB向けサードパーティ統合を狙ったサプライチェーン型攻撃であり、Salesloftの多数顧客（数百社規模）が影響を受けたと分析しています。ZscalerやPalo Alto Networksも同様のサプライチェーン攻撃による情報漏洩の可能性を報告しています。

攻撃の全体像（Googleによる分析）

Google Threat Intelligence Group（GTIG）は、本件をUNC6395による広範なデータ窃取キャンペーンと位置付けています。8月8日〜18日に、Driftに保存・接続されていたOAuth/リフレッシュトークンを悪用してSalesforce APIやSOQLクエリを実行し、Account、Opportunity、User、Caseなどから大量のデータがエクスポートされました。

さらに、AWSアクセスキー（AKIA）、Snowflakeトークン、パスワード断片などの秘匿情報も検索されていたことが確認されています。8月28日にはDrift Email連携のトークンも侵害され、一部構成ではGoogle Workspaceメールへのアクセスが発生した可能性が示されました。なお、Salesforce自体の脆弱性が原因ではありません。

Googleは、Driftを使用している全組織に対し、プラットフォームに保存されている、または接続されているすべての認証トークンを侵害済みとして扱い、トークンの失効・ローテーションを行い、接続システムで不正アクセスの兆候がないか調査するよう強く呼びかけています。

引用元記事：https://rocket-boys.co.jp/security-measures-lab/cloudflare-salesloft-drift-supply-chain-attack/