MicrosoftがShinyHuntersの活動に関連するSalesforce攻撃経路を特定
Microsoftは、データ搾取グループShinyHuntersに関連する攻撃経路を特定しました。これらの攻撃は、Salesforce環境において、OAuth接続を利用して不正アクセスを行う手法が用いられています。具体的には、従業員を騙す音声フィッシング(vishing)、信頼されたソフトウェアベンダーからのOAuthトークンの盗難、誤設定されたゲストアクセスの3つの経路が確認されました。Microsoftは、これらの活動を監視するための新しいツールをSalesforceと共同で導入しました。
メトリクス
このニュースのスケール度合い
インパクト
予想外またはユニーク度
脅威に備える準備が必要な期間が時間的にどれだけ近いか
このニュースで行動が起きる/起こすべき度合い
主なポイント
- ✓ ShinyHuntersに関連する攻撃者は、Salesforce環境に不正アクセスを行うために、OAuth接続を利用しています。
- ✓ Microsoftは、攻撃経路を3つに分類し、それぞれの手法に対する対策を講じています。
社会的影響
- ! この攻撃は、企業のデータセキュリティに対する信頼を損なう可能性があります。
- ! 特に、顧客情報や機密データが漏洩するリスクが高まります。
編集長の意見
解説
Microsoftが示したShinyHuntersのSalesforce侵入経路――“信頼されたOAuth”を踏み台にする3パターン
今日の深掘りポイント
- 攻撃はID境界の外側で起きる。OAuthトークンとSaaS間の信頼関係はMFAや従来のSIEM検知を素通りしやすいです。
- 侵入経路は「社会工学(vishing)」「ベンダー側でのトークン窃取(Trusted Relationship)」「ゲスト権限の誤設定」の3系統に整理でき、どれも“正規利用”に見える痕跡を残します。
- Salesforceの接続アプリ(Connected App)とスコープの棚卸し、リフレッシュトークンの無効化方針、Event Monitoringの常時可視化が肝です。
- 供給網の信頼が裏目に出る構図。自社の統制だけでなく、SaaS間の連携(SaaS-to-SaaS)に対するリスク・ゼロトラストの再設計が必要です。
- 直近の運用では「異常なAPI/Bulk API利用」「新しいASN/国からのトークン利用」「急増したレポート/エクスポート」を、相関して監視するのが効きます。
はじめに
Microsoftが、データ搾取で知られるShinyHuntersに関連づけられるSalesforce侵害の経路を整理し、Salesforceと共同で監視強化のための新ツールを導入したと報じられました。焦点はOAuth連携の悪用です。攻撃者は、音声フィッシング(vishing)で従業員に同意操作をさせる、信頼済みベンダー側でOAuthトークンを盗む、誤設定のゲストアクセスから侵入する――といった“見かけ上は正規”の足取りでCRMデータに到達します。
このニュースは、IDと権限を起点にしたゼロトラストの弱点が、SaaS間連携の“信頼”に潜むことを改めて突きつけています。緊急度と発生確度が高い一方で、対応は具体的に着手可能です。今日のうちに、Connected Appとトークンの棚卸しから始めるべきです。
参考:Microsoftの動向を報じる記事(The Hacker News)[英語]
深掘り詳細
事実関係(確認できること)
- 報道によれば、MicrosoftはShinyHunters関連のSalesforce侵害で、以下の3経路を特定しています。
- 従業員を狙った音声フィッシング(vishing)で、同意操作や認証行為を誘導する。
- 信頼済みのソフトウェアベンダー側で発行・保持されるOAuthトークンを盗み、企業のSalesforceへ横滑りする。
- ゲストアクセスの誤設定を突き、匿名もしくは低権限での閲覧・収集を拡大する。
- MicrosoftはSalesforceと連携し、こうした活動を監視するための新しいツールを導入したとされています(ツールの固有名や機能詳細は報道の範囲では限定的です)[出典:上掲のThe Hacker News記事]。
- OAuthを介したSaaS-to-SaaSの信頼連携では、いったん発行されたアクセストークンやリフレッシュトークンを使ってAPI経由でデータ操作が可能で、インタラクティブなMFAが再評価されないケースが一般的です。Microsoftも過去に「同意フィッシング(consent phishing)」の脅威と対策を公表しています[参考:Microsoft Security Blog(2020年)](https://www.microsoft.com/security/blog/2020/06/17/protecting-your-organization-against-consent-phishing/)]。
- Salesforce側の可視化・監査はEvent Monitoring(EventLogFileオブジェクト等)で実施でき、API、Bulk API、Login、ReportExportなどのイベントが取得可能です[Salesforce公式ドキュメント:Event Monitoring概要](https://help.salesforce.com/s/articleView?id=sf.security_event_monitoring.htm&type=5)、EventLogFileオブジェクト]。
- Connected App(接続アプリ)のポリシーで、許可スコープやトークン有効期限、自己承認の可否(管理者の事前承認のみ/全ユーザー許可)などの統制が可能です[Salesforce公式ドキュメント:Connected App管理](https://help.salesforce.com/s/articleView?id=sf.connected_app_manage.htm&type=5)]。
注:一部で「大規模な件数への波及」を示唆する言及も見られますが、公式一次情報で裏付け可能な範囲に限って記述しています。規模感や被害の内訳は、今後の公的発表を待つのが適切です。
インサイト(編集部の視点)
- ID境界の盲点が“アプリ間の信頼”に移っていることが本質です。攻撃者は、パスワードやOTPそのものではなく、「ユーザーの同意」「ベンダーが保持するトークン」「匿名/ゲストの誤設定」という“正規の入口”を使います。これにより、MFAや従来のログイン異常検知は素通りしやすく、API/Bulk APIの利用状況やトークンのライフサイクルに視点を移さない限り、痕跡は薄くなります。
- 現場では「承認済みConnected Appの権限スコープ」と「リフレッシュトークンの寿命・ローテーション」を軽視しがちです。特に、Admin事前承認なしに全ユーザーが自己承認できる設定は、vishingやチャット支援を組み合わせた“同意誘導”に脆弱です。ベンダー由来トークンの横滑りはTrusted Relationshipの典型で、サプライヤーのセキュリティ成熟度がそのまま自社の露出リスクになります。
- 可視化の要は、Salesforce Event Monitoringやリアルタイムイベント、そしてID側の「OAuth同意・不審アプリ検知」です。日次の集計ログだけでは、短時間の大量抽出や、業務時間外のトークン利用、新しいASNからのAPIアクセスなどの微細な異常を取りこぼします。SaaS-to-SaaSの連携監査を“恒常業務”化する設計に移行すべき段階です。
- スコア指標の印象としては、緊急度・発生確度・信頼性がいずれも高く、被害の広がりも領域横断的です。一方で、手口自体はOAuthと権限管理の設計不備を突く“構造的な脅威”であり、新規性よりも「長期に効くガバナンス改善」へ予算と運用を振り向ける局面にあります。すぐに効く是正(トークン失効・スコープ縮小)と、持続的対策(連携審査とログ常時監視)を二段で回すのが合理的です。
脅威シナリオと影響
以下は、公開情報を基にした仮説シナリオです。実案件ではテレメトリと監査証跡で裏付けを行ってください。
-
シナリオA:vishingで同意を誘導し、正規トークンでAPI抽出
- 手口の流れ(仮説)
- 攻撃者がヘルプデスクやベンダーを装い電話で接触、同意画面URLや手順を口頭で案内
- 従業員がConnected Appに同意、アクセストークン/リフレッシュトークンが発行
- API/Bulk APIでリード、商談、ケース、添付などを大量取得、外部クラウドへ送信
- ATT&CK仮マッピング
- T1598 Phishing for Information(vishingによる情報誘導)
- T1204 User Execution(ユーザーの同意操作)
- T1528 Steal Application Access Token(アプリ用トークンの取得・悪用)
- T1550 Use Alternate Authentication Material(トークンを用いた認証回避)
- T1213 Data from Information Repositories(CRM等リポジトリからの収集)
- T1567 Exfiltration to Cloud Storage(外部クラウドへの送信)
- 影響
- MFAや通常のログイン異常検知をすり抜け、正規ユーザーの行為として見えるため検知が遅延します。CRMデータの体系的流出、取引先や顧客への二次被害、法令・契約上の報告義務が発生しやすいです。
- 手口の流れ(仮説)
-
シナリオB:信頼ベンダー側のトークン流出を踏み台に横滑り(Trusted Relationship)
- 手口の流れ(仮説)
- ベンダー環境でOAuthトークンやクライアント資格情報が窃取
- ベンダーが保有する権限で顧客テナントのSalesforceへアクセス
- API経由でデータ収集、場合によっては権限操作やレポートエクスポートを実行
- ATT&CK仮マッピング
- T1199 Trusted Relationship(信頼連携の悪用)
- T1528 Steal Application Access Token(ベンダー側のトークン窃取)
- T1078 Valid Accounts(正規資格の悪用)
- T1213 Data from Information Repositories(CRMからの収集)
- T1567 Exfiltration to Cloud Storage(外部送信)
- 影響
- マルチテナントで同一アプリを使っている顧客群に連鎖的なリスク。監査では「どのベンダーがどのスコープでいつアクセスしたか」の追跡が重要です。
- 手口の流れ(仮説)
-
シナリオC:ゲストアクセスの誤設定を突いた匿名・低権限収集
- 手口の流れ(仮説)
- 体験サイト/コミュニティ(Experience Cloud等)の公開範囲や権限設定の不備を探索
- 非認証もしくはゲストで閲覧可能なオブジェクト/レポートに到達
- スクレイピングや自動化で継続的に引き抜き
- ATT&CK仮マッピング
- T1595 Active Scanning(公開範囲や権限の探索)
- T1190 Exploit Public-Facing Application(誤設定・公開面の悪用として便宜的に適用)
- T1213 Data from Information Repositories(公開情報からの収集)
- 影響
- 匿名アクセスのため遡及トレースが難しく、流出の気づきが遅れやすいです。公開用データと内部専用データの境界が曖昧なほど、外形的な損害が大きくなります。
- 手口の流れ(仮説)
参考(MITRE ATT&CK技術解説):
- T1199 Trusted Relationship
- T1528 Steal Application Access Token
- T1550 Use Alternate Authentication Material
- T1213 Data from Information Repositories
- T1598 Phishing for Information
- T1567 Exfiltration to Cloud Storage
注:ゲスト誤設定のケースは脆弱性悪用ではなく設定不備の濫用であり、ATT&CKの割り当ては便宜的です。組織の実装に即して再評価してください。
セキュリティ担当者のアクション
-
48時間で着手する是正
- Connected Appの棚卸し
- 管理画面で全接続アプリのスコープと「Permitted Users(全ユーザー自己承認/管理者事前承認)」を確認し、高リスクアプリは「管理者事前承認のみに限定」へ切り替えます[Salesforce公式:Connected App管理](https://help.salesforce.com/s/articleView?id=sf.connected_app_manage.htm&type=5)]。
- トークンのライフサイクル統制
- リフレッシュトークンの有効期間とローテーション方針を見直し、不要アプリのトークンは失効。疑わしい同意は取り消し、再同意時は最小スコープで要求します。
- 監視の強化(即効性の高い指標)
- Event MonitoringでAPI、Bulk API、ReportExport、Loginなどを相関。新しいASN/国・時間帯での大量抽出を検知ルール化します[Salesforce公式:Event Monitoring](https://help.salesforce.com/s/articleView?id=sf.security_event_monitoring.htm&type=5)]。
- 短時間に大量のSOQL/レポートエクスポート、通常未使用のスコープ(例:refresh_token, full)が付与された新規Connected App同意をアラート化します。
- ヒト起点の防御
- vishing対策として「電話経由の同意・MFA支援は行わない」「必ず正規チャンネルに差し戻して本人申請を原則化」の運用ルールを即日周知。ヘルプデスクのコールバック・二者認証プロセスを強化します。
- Connected Appの棚卸し
-
30日で固める恒常対策
- SaaS-to-SaaSのゼロトラスト基準
- Connected Appの導入審査(データアクセス粒度、スコープ最小化、監査ログ提供、サプライヤーSOC2/ISO・インシデント通報義務)を標準化。契約条項に「トークン保護・侵害時の即時失効・顧客通知SLA」を明記します。
- 可視化・検知の常設
- Event Monitoring(必要に応じてリアルタイム連携)をSIEM/CASBに統合し、ID側の「同意フィッシング/不審アプリ検知」とSaaSログの相関を常時化します。Microsoftの“同意フィッシング”防御策(管理者同意ワークフロー、既知の悪性アプリ遮断リスト等)も参考にしてください[Microsoft Security Blog](https://www.microsoft.com/security/blog/2020/06/17/protecting-your-organization-against-consent-phishing/)]。
- 最小権限の再設計
- 高感度データ(取引先、商談、ケース、添付、レポートエクスポート)へのアクセスはロール/権限セットを再設計し、ゲスト/外部ユーザーに継承されないことを検証。公開サイトではゲストのCRUD/レポート権限を明示的に禁止し、公開用データは別オブジェクト/別インスタンスで分離します。
- 演習とレポーティング
- 「不審Connected App同意のインシデント対応」卓上演習を実施。CISO向けKPIは「承認済みConnected Appの総数推移」「高スコープ(full/refresh_token)アプリの比率」「トークン失効SLA」「外部ベンダーの年次再審査完了率」で可視化します。
- SaaS-to-SaaSのゼロトラスト基準
-
検知アナリティクス(例)
- 同日内における「新規Connected App同意」かつ「1時間以内のBulk APIジョブ作成」かつ「過去30日と異なるASN/国」→ 高優先度アラート。
- 1ユーザーからのReportExportイベントが、通常99パーセンタイルを超過し、かつ夜間帯に集中→ データ搾取の疑いで即時トークン失効。
- ベンダー由来のOAuthクライアント(固定User-Agent/接続元ASN)に変化があり、アクセスが急増→ Trusted Relationship逸脱として隔離・再認証。
最後に。この脅威は“新しい”というより“構造的”です。だからこそ、いま手を付けた運用とガバナンスの改善は、半年後・一年後も効き続けます。信頼に甘えるのではなく、信頼を設計する。SaaSの時代に必要なのは、その発想の転換です。
参考情報
- ニュース報道(英語):Microsoft Maps Year-Long ShinyHunters Activity Abusing Salesforce OAuth Connections
- 背景解説:Microsoft Security Blog(consent phishingの防御)Protecting your organization against consent phishing
- プラットフォーム一次情報:Salesforce公式ドキュメント
- MITRE ATT&CK(技術マッピング)
背景情報
- i ShinyHuntersは、データ搾取を目的とした攻撃グループであり、主に企業のSalesforce環境を標的にしています。彼らは、OAuth接続を利用して、正規のユーザーとして不正アクセスを行う手法を用いています。
- i Microsoftは、Salesforceと協力して、攻撃を検知するための新しいツールを開発しました。これにより、OAuth接続の監視や、異常な活動の検出が可能になります。