C
月内に
Microsoftは、データ窃取グループShinyHuntersがSalesforce環境へ不正アクセスするための3つの攻撃パスを特定しました
📌 一言でいうと
Microsoftは、データ窃取グループShinyHuntersがSalesforce環境へ不正アクセスするための3つの攻撃パスを特定しました。攻撃者はプラットフォームの脆弱性を突くのではなく、OAuth接続などの信頼関係を利用して、正規ユーザーや信頼されたアプリを装い侵入しています。この手法は認証ログに記録されにくいため検知が困難であり、MicrosoftとSalesforceは新たな検知・ガバナンスツールの導入を進めています。
🔍該当判定
- 自社でSalesforceを利用している
- Salesforceと外部アプリやサードパーティ製ツールをOAuth(連携認証)で接続している
- Salesforceの連携アプリ(Connected Apps)の権限管理を定期的に見直していない
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. Salesforceにおける接続済みアプリ(Connected Apps)の権限を定期的にレビューし、不要なアクセス権を削除すること。 2. OAuthトークンの有効期限を適切に管理し、不審なアプリケーションの承認がないか監視すること。 3. Salesforceが提供する最新の検知およびガバナンスツールを導入し、認証ログ以外の行動ログを監視すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】SalesforceにおけるOAuth連携を悪用した攻撃への対応について
お疲れさまです。Salesforce環境への不正アクセスに関する情報共有です。
■ 概要
データ窃取グループShinyHuntersが、Salesforceの脆弱性ではなく、OAuth接続(サードパーティアプリ連携)の信頼関係を悪用して侵入する手法が確認されました。正規の認証フローを悪用するため、従来のサインインログでは検知が困難な傾向にあります。
■ 影響範囲
- Salesforceを利用し、外部アプリやベンダーとOAuth連携を行っている環境
■ 対応手順
1. [Connected Apps] 設定を確認し、現在承認されているサードパーティアプリのリストを精査してください。
2. 不要な、または出所不明なアプリのアクセス権限を即座に剥奪してください。
3. Salesforceが提供する最新の検知・ガバナンスツールを適用し、アプリによる不審なデータ操作を監視してください。
■ 参考情報
- Microsoft Security Research / Salesforce Security Advisory
対応優先度: 高
対応期限: 今週中
お疲れさまです。Salesforce環境への不正アクセスに関する情報共有です。
■ 概要
データ窃取グループShinyHuntersが、Salesforceの脆弱性ではなく、OAuth接続(サードパーティアプリ連携)の信頼関係を悪用して侵入する手法が確認されました。正規の認証フローを悪用するため、従来のサインインログでは検知が困難な傾向にあります。
■ 影響範囲
- Salesforceを利用し、外部アプリやベンダーとOAuth連携を行っている環境
■ 対応手順
1. [Connected Apps] 設定を確認し、現在承認されているサードパーティアプリのリストを精査してください。
2. 不要な、または出所不明なアプリのアクセス権限を即座に剥奪してください。
3. Salesforceが提供する最新の検知・ガバナンスツールを適用し、アプリによる不審なデータ操作を監視してください。
■ 参考情報
- Microsoft Security Research / Salesforce Security Advisory
対応優先度: 高
対応期限: 今週中
Subject: [Security Alert] Addressing OAuth-based Attack Paths in Salesforce
Dear IT/Security Team,
We are sharing information regarding a campaign by the threat actor ShinyHunters targeting Salesforce environments.
■ Overview
Attackers are bypassing traditional authentication monitoring by leveraging trusted OAuth connections between Salesforce and third-party applications. Since the traffic appears as legitimate user activity, it often evades standard sign-in logs.
■ Scope
- Organizations utilizing Salesforce with third-party app integrations via OAuth.
■ Action Plan
1. Review the list of 'Connected Apps' within your Salesforce instance to identify unauthorized or unnecessary integrations.
2. Revoke access for any suspicious or obsolete third-party applications.
3. Implement the latest detection and governance tooling released by Salesforce/Microsoft to monitor post-authentication behavior.
■ Reference
- Microsoft Security Research / Salesforce Security Advisory
Priority: High
Deadline: End of this week
Dear IT/Security Team,
We are sharing information regarding a campaign by the threat actor ShinyHunters targeting Salesforce environments.
■ Overview
Attackers are bypassing traditional authentication monitoring by leveraging trusted OAuth connections between Salesforce and third-party applications. Since the traffic appears as legitimate user activity, it often evades standard sign-in logs.
■ Scope
- Organizations utilizing Salesforce with third-party app integrations via OAuth.
■ Action Plan
1. Review the list of 'Connected Apps' within your Salesforce instance to identify unauthorized or unnecessary integrations.
2. Revoke access for any suspicious or obsolete third-party applications.
3. Implement the latest detection and governance tooling released by Salesforce/Microsoft to monitor post-authentication behavior.
■ Reference
- Microsoft Security Research / Salesforce Security Advisory
Priority: High
Deadline: End of this week