8月下旬、ハッカーがAIチャットボットプラットフォームの内部構造へのアクセス権を獲得し、それ以来、このアクセス権を使用して、企業がチャットボットと統合しているSalesforceからGoogle Workspaceまでの他のアプリに侵入しています。

Salesloftに買収されたチャットボットエージェントであるDriftは、アメリカの営業チームやマーケティングチームに人気があります。サードパーティのアプリと統合して、ウェブサイトの訪問者を営業リードに変換します。攻撃者がどのようにしてSalesloft Driftに侵入したかは現在のところ不明ですが、そこに入ると、Salesforce、Google Workspace、Slack、Amazon S3、Microsoft Azure、OpenAI、およびSalesloftと統合されている可能性のあるその他のプラットフォームへのアクセスを許可する認証トークンを盗みました。

会社でDrift、Salesloft、またはSalesforceの統合を使用している場合は、この侵害の影響を受けている可能性があります。セキュリティ研究者は、すべてのOAuthトークンを直ちに失効させ、接続されているアプリを監査することを推奨しています。侵害の確認を待たずに、侵害されたと仮定して今すぐ行動してください。

そうしないと、攻撃者がこれらのトークンを使用してオンライン環境にアクセスする可能性があります。

Salesloft Drift攻撃のタイムライン

Salesloftは8月20日に、Driftの統合に影響を与えるセキュリティ問題(新しいウィンドウ)を初めて公開しました。

8月26日、Googleの脅威インテリジェンスグループは、攻撃者がSalesloftから盗んだOAuthトークンを悪用してSalesforceインスタンスにアクセスし、大量のデータを持ち出したことを確認する調査結果を発表(新しいウィンドウ)しました。

8月28日、Googleは更新を追加し、攻撃者がこれらのアクセストークンを使用して、Drift統合を持つ「ごく少数のGoogle Workspaceアカウント」のメールにもアクセスしたこと、そしてこのハッキングがほぼすべてのDrift統合に影響を与えることを指摘しました。Googleは、Slack、Amazon S3、Microsoft Azure、OpenAIの有効な認証トークンも盗まれたと主張しています。

その結果、GoogleとSalesforceはDrift統合を一時的に無効化しました。

9月1日、ZscalerはDrift攻撃で盗まれたOAuthトークンとリフレッシュトークンを使用して侵害されたことを確認しました(新しいウィンドウ)。攻撃者は同社のSalesforceインスタンスに侵入し、名前、メール、役職、Zscaler製品の使用情報などを含む機密性の高い顧客情報を盗みました。

これは、Salesforceインスタンスに対する最近の別の攻撃に続くもので、その攻撃によりGmailおよびGoogle Workspaceユーザーに対するフィッシング攻撃が急増しました。Krebs Security(新しいウィンドウ)によると、これら2つの攻撃が関連しているかどうかについては意見が分かれています。

サプライチェーン攻撃とは?

サプライチェーン攻撃とは、攻撃者がサードパーティのベンダーを狙って組織のシステムに侵入することです。この場合、攻撃者はGmailやSalesforceを直接侵害したわけではなく、Drift統合からのOAuthトークンを侵害して接続されたシステムにアクセスしました。

サプライチェーン攻撃の最近の最も悪名高い例の1つは、2020年のSolarWinds(新しいウィンドウ)で起こったことです。SolarWindsはネットワーク管理の主要なソフトウェアプロバイダーです。ロシアが支援していると疑われるハッカーがSolarWindsを攻撃し、コードにマルウェアを埋め込みました。このマルウェアは標準的な更新中に3万以上の公的および民間組織に拡散しました。これはおそらく史上最大のサプライチェーン攻撃でした。

AIチャットボットが引き続き標的になる理由

DriftのようなAIエージェントをあらゆる種類の企業の無数のワークフローに統合しようとする動きが急増したため、サイバーセキュリティチームが仕事をするのが難しくなっており、AI企業はこれまでのところサプライチェーン攻撃に対して脆弱(新しいウィンドウ)であることが証明されています。AIの採用の加速、技術の新しさ、そして誰もが走りながら学んでいる(新しいウィンドウ)という事実を考えると、これらの攻撃は今後ますます一般的になるでしょう。

AIエコシステムが成熟するまで、最も安全な動きは、アクセスを最小化し、統合を制限し、ゼロトラスト向けに設計されたプラットフォームを使用することです。ハッカーは常に、企業のセキュリティ境界内の弱点と思われる場所を標的にしようとします。統合、サードパーティプラットフォーム、および外部コンサルタントは、多くの場合、魅力的なターゲットと見なされます。企業のデータ侵害防止について詳しく学びましょう。