サードパーティ製連携がSalesforceにもたらす新たなセキュリティ上の脅威

多くの企業は、数百から数千ものサードパーティのサプライヤーやパートナーを含む、拡大したデジタルエコシステムの中で事業を展開しています。脅威アクターは、こうしたつながりを悪用して従来のセキュリティ対策を回避し、標的へと到達しています。

ここでは、サードパーティシステムとの統合を通じて、サプライチェーン攻撃の手法がどのようにSalesforceプラットフォームの悪用に利用されるかに焦点を当てます。数千もの組織の顧客関係管理インフラの重要な一部であるSalesforceクラウドは、機密データへのアクセスを狙う脅威アクターにとって魅力的な標的の一つとなっています。

ガートナーは、2025年までに世界中の組織の45％が、自社のソフトウェア・サプライチェーンに対する攻撃を経験することになると予測しています。

現実味のあるサプライチェーン攻撃は、脅威アクターがSalesforceプラットフォームに接続または統合されている脆弱なシステムを発見することから始まる可能性があります。この脆弱なシステムとは、REST、SOAP、またはその他のAPIを介してSalesforceプラットフォームとの間で構造化データや非構造化データを送受信する、あらゆるソフトウェアやアプリケーションを指します。攻撃者は、アプリケーション内の既知または未知の脆弱性（悪名高いLog4jのバグなど）を悪用してシステムを侵害し、その機能へのアクセス権を獲得することができます。

脆弱なアプリケーションがSalesforceプラットフォームへの特権アクセス権を持っている場合、攻撃者は権限の変更、共有ルールの改変、データの改ざんを行い、横方向の移動を隠蔽したり、Salesforce自身の接続を悪用して攻撃を拡大したりすることが可能になります。

特権アクセス権がなくても、攻撃者は、Salesforce、Service、またはExperience Cloud環境に通常存在するChatter、Case、Account、Lead、その他の標準またはカスタムオブジェクトに、悪意のあるファイルを添付したり、フィッシングリンクを送信したりすることで、Salesforceプラットフォームを悪用しようとする可能性があります。

その後、Salesforceユーザーがエンドポイントデバイスから悪意のあるファイルをダウンロードしたり、フィッシングリンクを開いたりします。エンドポイントデバイスが保護されていない、設定ミスがある、または脆弱性を抱えている場合、攻撃者は悪意のあるペイロードを実行したり、ユーザーの認証情報を盗んだりすることが可能になります。組織によるSalesforceシステムの利用方法によっては、従業員、パートナー、顧客が被害を受ける可能性があります。

ここから攻撃者は本格的な攻撃を開始し、ユーザーの端末にコマンド＆コントロール（C&C）機能を確立して端末を乗っ取り、そのアクセス権限を利用することが考えられます。これにより、攻撃者は重要なデータの持ち出しや、組織のネットワークへのさらなるマルウェアの埋め込み、さらには他の第三者への拡散さえも開始できるようになります。

この短い動画をご覧いただき、このような攻撃の仕組みを実際にご確認ください。

*Gartner Press Release, “Top Trends in Cybersecurity 2022”, Published 18 February 2022 By Analysts: Peter Firstbrook, Sam Olyaei, Pete Shoard, Katell Thielemann, Mary Ruddy, Felix Gaehtgens, Richard Addiscott, William Candrick. GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved.