“The Salesloft Drift Breach: Why Continuous SaaS Security Testing Is No Longer Optional” Sep 3, 2025 by Ridge Security Marketing より
先日発生した、米国のセールス支援SaaSベンダーSalesloftと会話型マーケティングを提供するSaaSベンダーDriftのシステム連携に関連したセキュリティ侵害は、現代のSaaSエコシステムがいかに相互接続され、同時に脆弱であるかを改めて示しました。
攻撃者はDriftから窃取したOAuthトークンをリプレイ(認証トークンを不正に再利用)し、Salesforceをはじめとする連携プラットフォームへと不正アクセスしました。
その結果、Cloudflare、Zscaler、Palo Alto Networks、Tanium、SpyCloudといったサイバーセキュリティ分野の大手企業から、機密性の高いサポートデータやCRMデータが流出しました。
重要なのは、これはSalesforce側の不具合ではなかったという点です。
サードパーティとの統合に用いられるトークンの不正利用による、従来の防御策をすり抜けるサプライチェーン型攻撃だったのです。
特に警戒すべきは、攻撃のパターンです。
- OAuthトークンの窃取とリプレイは、目立たないながら深刻な影響を及ぼす
- サポート/CRMデータには、ログや設定情報、場合によっては認証情報が含まれる
- 一度の連携侵害が、数百もの環境に波及する可能性がある
一部のベンダーは被害の拡大を迅速に防ぎましたが、CISOにとっての教訓はより根深いものです。
なぜなら、従来の「年に一度」「必要に応じて」といった断続的なペネトレーションテストでは、この種の変化を把握できないからです。
次のテスト時期を迎える頃には、攻撃者はすでにSaaSスタックの内部を横断している可能性があります。
だからこそ、継続的かつ自動化されたセキュリティテストとエクスポージャー(露出度)の検証が新たな標準であるべきです。
これにより、テストサイクル間のギャップが埋められ、SaaSの設定変更や新規統合をほぼリアルタイムに検知できます。
結果として、攻撃者に悪用される前に優先順位付けを行い、迅速に修正対応を進めることが可能となります。
Ridge Securityは、まさにこの原則に基づいてRidgeBot®を設計しました。
RidgeBot®はAI搭載の自律エージェントとして、年に一度ではなく、日々継続的に実際に悪用され得るリスクを調査・検証し、レポートします。
貴社のセキュリティ強化を支援する、RidgeBot®のご紹介もご覧ください。