Oauth、SaaSサプライチェーン、およびセキュリティリスク：地雷原のナビゲート

SalesLoft/Drift違反は、特にOAuthの統合に関して、SaaSサプライチェーン内のセキュリティリスクの高まりを強調しています。これらの脅威を軽減する方法を学びます。

The recent Salesloft/Drift breach, which came to light in August 2025, serves as a stark reminder of the lurking dangers within the SaaS ecosystem. Specifically, the exploitation of OAuth integrations has exposed a significant blind spot in SaaS security.

2025年8月に明らかになった最近のSalesloft/Drift違反は、SaaSエコシステム内の潜んでいる危険を際立たせていることを思い出させてくれます。具体的には、OAuth統合の搾取により、SaaSセキュリティの重要な死角が明らかになりました。

OAuth: A Double-Edged Sword

Oauth：両刃の剣

OAuth, intended to simplify identity and integration, has inadvertently become a major vulnerability. As Jaime Blasco, CTO of Nudge Security, points out, once attackers gain control of OAuth tokens, traditional security measures like multi-factor authentication (MFA) become useless. These tokens grant persistent trust, allowing attackers to move laterally across interconnected SaaS environments. The Drift breach allowed attackers to access Salesforce and Google Workspace environments across hundreds of organizations.

アイデンティティと統合を簡素化することを目的としたOauthは、不注意に大きな脆弱性になりました。 Nudge SecurityのCTOであるJaime Blascoが指摘するように、攻撃者がOAuthトークンの制御を獲得すると、マルチファクター認証（MFA）などの従来のセキュリティ対策が役に立たなくなります。これらのトークンは永続的な信頼を与え、攻撃者が相互接続されたSaaS環境を横方向に移動できるようにします。ドリフト違反により、攻撃者は何百もの組織にわたってSalesforceおよびGoogleワークスペース環境にアクセスできました。

The Anatomy of the Drift Breach

ドリフト違反の解剖学

The attack, attributed to UNC6395 (aka GRUB1), began months before its discovery. The attackers initially targeted Drift's GitHub repositories, eventually gaining access to their AWS environment. From there, they stole OAuth tokens for various integrations, including Salesforce and Google Workspace. This access allowed them to sift through Salesforce support cases, seeking customer credentials, a tactic previously observed in breaches involving Okta and Cloudflare.

UNC6395（別名Grub1）に起因する攻撃は、その発見の数ヶ月前に始まりました。攻撃者は当初、DriftのGitHubリポジトリをターゲットにし、最終的にAWS環境へのアクセスを獲得しました。そこから、SalesforceやGoogle Workspaceなど、さまざまな統合のためにOauthトークンを盗みました。このアクセスにより、OktaとCloudflareが関与する違​​反で以前に観察された戦術である顧客の資格情報を求めて、Salesforceサポートケースをふるいにかけることができました。

Missed Detection Opportunities

検出の機会を逃した

A key takeaway from the incident is the importance of proactive security measures. Blasco emphasizes that vendors can implement detection mechanisms to identify and prevent token misuse. However, many companies fail to forward SaaS logs, restrict OAuth token lifespans, or enforce session timeouts, leaving their integrations exposed.

事件からの重要なポイントは、積極的なセキュリティ対策の重要性です。 Blascoは、ベンダーが検出メカニズムを実装して、トークンの誤用を特定して防止できることを強調しています。ただし、多くの企業は、SaaSログを転送したり、OAuthトークンの寿命を制限したり、セッションのタイムアウトを実施したりして、統合を暴露したままにしていません。

The SaaS Security Triad of Mistakes

SaaS Security Triad of Mistakes

Blasco identifies three common errors that expose IT and security teams to risk:

Blascoは、ITとセキュリティチームをリスクにさらした3つの一般的なエラーを識別します。

1. Lack of visibility into SaaS applications
2. Inadequate monitoring of integrations
3. Failure to configure SaaS applications securely

These oversights create a fragmented SaaS landscape ripe for exploitation.

これらの監視は、搾取のために熟した断片化されたSaaSランドスケープを作成します。

Shadow SaaS and the Rise of Shadow AI

Shadow SaasとShadow Aiの台頭

The problem is compounded by the rise of shadow SaaS and shadow AI. Employees are increasingly adopting tools outside of IT's purview, often exposing sensitive data to unvetted startups. As AI agents become more sophisticated, they will rely on OAuth, API keys, and other protocols to access data, further expanding the attack surface.

この問題は、シャドウサーとシャドウAIの台頭によって悪化します。従業員は、その範囲外でツールをますます採用しており、多くの場合、機密データを無視されていないスタートアップにさらしています。 AIエージェントがより洗練されると、OAuth、APIキー、およびその他のプロトコルに依存してデータにアクセスし、攻撃面をさらに拡大します。

Practical Steps for Security Teams

セキュリティチームのための実用的なステップ

Despite the complexity, Blasco advises teams to focus on the fundamentals:

複雑さにもかかわらず、Blascoはチームに基礎に集中するようにアドバイスします。

• Inventory all applications.
• Enforce MFA.
• Configure integrations with timeouts and IP restrictions.

Salesforce's Response

Salesforceの応答

Following the breach, Salesforce temporarily disabled all Salesloft integrations as a precautionary measure. Salesloft also took Drift temporarily offline to review the application and enhance its security.

違反に続いて、Salesforceは予防策としてすべてのSalesLoft統合を一時的に無効にしました。 SalesLoftはまた、アプリケーションをレビューし、セキュリティを強化するために一時的にオフラインでドリフトを採用しました。

Fiji's Crypto Ban: A Different Kind of Security

フィジーの暗号禁止：別の種類のセキュリティ

While the SaaS breaches highlight one type of security risk, the island nation of Fiji is taking a different approach to security by renewing its ban on cryptocurrencies. Citing concerns about money laundering, terrorism funding, and a lack of regulatory resources, Fiji aims to protect its financial system and national security. This move, while controversial, reflects a growing awareness of the potential risks associated with digital assets.

SaaS違反は、1つのタイプのセキュリティリスクを強調していますが、フィジーの島国は暗号通貨の禁止を更新することにより、セキュリティに対して異なるアプローチを取っています。フィジーは、マネーロンダリング、テロリズムの資金、規制資源の不足に関する懸念を引用して、金融システムと国家安全保障を保護することを目指しています。この動きは、議論の余地がありますが、デジタル資産に関連する潜在的なリスクに対する認識の高まりを反映しています。

Looking Ahead

先を見ています

The Salesloft/Drift breach is a wake-up call. The security of the SaaS supply chain requires constant vigilance, robust security practices, and a proactive approach to identifying and mitigating risks. Otherwise, OAuth will continue to be a weak spot. It is the gift that keeps on giving... to hackers, that is.

SalesLoft/Drift Breachはモーニングコールです。 SaaSサプライチェーンのセキュリティには、絶え間ない警戒、堅牢なセキュリティ慣行、およびリスクを特定して緩和するための積極的なアプローチが必要です。それ以外の場合、OAuthは引き続き弱いスポットです。それは、ハッカーに与え続ける贈り物です。