AI侵害のドミノ作用: AIチャットアプリを狙った攻撃が業界全体に波及
営業支援プラットフォームを開発・提供するSalesloft社のAIチャット「Drift」を狙った攻撃により、セキュリティ企業を含む700社以上の情報が流出したとされました。本事例をもとに、AI連携に伴うリスクや具体的な対策を解説します。
はじめに
2025年8月、Salesloft, Inc.(以下、Salesloft社)が開発・提供する営業支援プラットフォーム「Salesloft※」のAIチャット機能「Drift」に起因する大規模な情報流出が発生しました(公式発表)。このセキュリティインシデントは、情報が流出したことだけでなく、業務フローに組み込んだAIツールの脆弱性がビジネスエコシステム全体に影響を及ぼした点で、注目に値します。当初は単一のAIチャットボットプロバイダに対する侵害として始まったものが、やがて大規模なサプライチェーン攻撃に発展しました。一部報道(ITmedia)などによると、世界中の700以上に及ぶ企業や組織に影響をもたらしました。被害組織の中には、こうした事態を防ぐソリューションを手掛けるサイバーセキュリティ大手企業も含まれています。
※Salesloftのツールは、SalesforceなどのCRMツールなどと連携して使用することが想定されている。
(参考情報)
「Drift/Salesforce Security Notification」(2025年8月21日。Salesloft, Inc.)
「Widespread Data Theft Targets Salesforce Instances via Salesloft Drift」(2025年8月27日。Google Cloud)
「Drift/Salesforce Security Update」(2025年8月26日。Salesloft, Inc.)
「Drift/Salesforce Security Update」(2025年8月27日。同上)
「ACTION NEEDED: Drift API Integrations」(2025年8月28日。同上)
「Drift Security Update: Salesforce Integrations (3:30PM ET)」(2025年8月29日。同上)
「Salesloft Security Update: Salesforce Integrations (6:15PM ET)」(2025年8月29日。同上)
「Salesloft Security Update: Can customers still use Salesloft? (12PM ET)」(2025年8月30日。同上)
「Salesloft Functionality During Temporary SFDC Disconnection (2:30PM ET)」(2025年8月30日。同上)
「Salesloft-Salesforce Integration Update (4:30PM ET)」(2025年9月1日。同上)
「Drift Will Be Temporarily Offline (1:55PM ET)」(2025年9月3日。同上)
「Salesloft FAQs about Salesforce Interruption (10:10AM ET)」(2025年9月3日。同上)
「Notice: Drift Temporarily Offline Effective Friday, September 5, 2025 at 6 a.m. ET.」(2025年9月5日。同上)
「Third-Party Drift Integration Partners FAQ (9:00PM ET)」(2025年9月5日。同上)
「Update on Mandiant Drift and Salesloft Application Investigations」(2025年9月7日。同上)
「Salesforce/Salesloft Integration Is Restored」(2025年9月8日。同上)
「Drift Status Update」(2025年9月11日。同上)
「Important Update Regarding Drift Security」(2025年9月13日。同上)
「Drift Is Now Back Online」(2025年9月20日。同上)
「Summary of the Mandiant Investigation of Drift Applications」(2025年10月18日。同上)
背後にいる攻撃者は、標的システムのセキュリティ網を弱体化させたり、特殊な侵入口を発見したわけではありません。代わりに、業務プロセスの内部で動く信頼済みAIエージェントへの「アクセス鍵」を入手し、悪用しました。今回のインシデントは、AI導入に関する重要な「盲点」を示唆しています。それは、企業や組織がAI導入を急ぐあまり、従来のセキュリティモデルでは想定されなかった形で、アタックサーフェス(攻撃対象領域)が無自覚に広がってしまっていることです。
攻撃の進行過程
本攻撃は、はじめにある一箇所の弱点を侵害し、そこからサプライチェーンを通じて影響を拡大させるものであり、一種のドミノ効果を利用した手口と見なせます。調査に基づくと、攻撃者(Google CloudやFBIは「UNC6395」として追跡中)は、数ヶ月にわたって多段階の作戦を慎重に実行しました。
1. 初期の侵入経路(2025年3月~6月):はじめに攻撃者は、Salesloftの内部GitHubリポジトリの1つを侵害しました。数ヶ月にわたって潜伏し続け、コードをダウンロードするとともに、対価の見込めるシステムに侵入するための手がかりを探っていました。
2. 鍵データの発見:攻撃者は、リポジトリ内から機密性の高い「OAuth(アクセス権を委譲するための認可フレームワーク)トークン」を発見しました。このトークンは、一種のマスター鍵として機能し、Salesloftからクラウドアプリケーション「Drift」に含まれるアカウントへの高権限アクセスを可能にします。
3. トークンの悪用(2025年8月):トークンを入手した攻撃者は、Driftの高権限アカウントとして認証することに成功しました。この信頼されたアカウントを通じて、Driftと顧客アプリケーション間の連携機能を悪用することが可能となりました。
4. 影響(8月8日~18日):攻撃者は、このアクセス権を利用し、多数の顧客向けに稼働しているSalesforceインスタンスから計画的にデータを抜き取りました。前述したように、被害を受けたのはSalesloftだけにとどまらず、Driftを利用していた多数の企業・組織に及びました。具体的には、顧客の会話記録や連絡先情報の窃取の被害が公表されています。
AIとの関連:本インシデントの特質
今回発生した攻撃は、AIセキュリティの在り方について考えさせるターニングポイントとなる可能性があります。実際に標的とされた「AIチャットボット」は、その高度な機能性や柔軟性により、ひとたび侵害されれば極めて危険な武器として悪用される恐れがあります。こうした特性は、現代のAI連携システムに潜む重大なリスクを示唆するものです。
AIアプリケーションによる広範なアクセスパターン
固有の機能に特化して作られた従来形のSaaSツールと異なり、AIチャットボットは知的な応答を返すために、相互接続された複数のデータソースにアクセスする必要があり、そのパターンも複雑化しがちです。例えば、従来のCRM(顧客関係管理)連携であれば連絡先情報だけで済むこともありますが、AI営業アシスタントの場合、連絡先に加えてメール履歴やカレンダー情報、商談パイプライン、会話履歴、製品カタログなども必要となります。このように従来の単機能ソリューションと比べてアクセス範囲が拡大、複雑化するため、AI連携機能の一箇所でも侵害されると、さまざまな機密情報が流出のリスクに晒されます。
信頼を前提としたアーキテクチャが盲点を生み出す
AIツールが持つ強みの代表例として、多量のデータ処理を通した自動化が挙げられます。そのためには、システム間の高度な連携と信頼関係が必要となります。今回の攻撃では、その「信頼」が逆手に取られました。侵害されたAIエージェントからのAPI呼び出しは、至極まっとうなものと映りました。なぜなら、AIが多量のデータにアクセスすること自体は、本来期待される動作であるためです。このため、従来型のセキュリティ機能では、平常時のAIによるデータ利用と、悪意に基づくデータ流出を容易に見分けられない場合があります。今回の攻撃者は、こうした「盲点」を数ヶ月にわたって巧みに悪用していました。
AIサプライチェーンが攻撃経路を拡大
今回の攻撃者は、CRMのデータだけでなく、Driftと連携している他サービスの認証トークンも入手しました。その中には、OpenAIのAPI認証情報も含まれます。これは、攻撃者が近代型AIエコシステムの「繋がり合った性質」に目をつけていたことを示唆します。つまり、一つのAIベンダーを侵害すれば、それを起点に顧客側の広範なAIインフラやサードパーティーのAIサービス、さらに下流のアプリケーションにも侵入できる可能性が高まります。
被害状況:広範に拡大
本攻撃の影響は甚大であり、700以上の組織が被害に遭ったと推定されます(上記の通り、一部報道による)。
今回のインシデントからは、アプリのエコシステム管理に関する重大な問題点を見て取れます。それは、Salesloftの元顧客であるSpyCloudも侵害に遭っていたことであり、契約終了後もアクセス用トークンが適切に無効化されていなかったことを示唆しています。
(参考情報)「Salesloft Drift Incident: SpyCloud’s Response」(2025年9月1日。SpyCloud, Inc.)
重要な教訓:Oktaが被害を免れた理由
被害が拡大する中、ID管理サービスを提供する企業Oktaは、影響を免れたことが分かりました。同社も顧客であり、攻撃対象として狙われましたが、データを侵害されるには至りませんでした。これは偶然ではなく、入念なセキュリティポリシーの結果と考えられます。
(参考情報)「Salesloftインシデント:SaaSセキュリティへの警笛とIPSIE採用の重要性」(2025年9月3日。Okta Japan株式会社)
Oktaの公式声明によると、攻撃者は確かに盗み出したトークンを用いてSalesforceの環境にアクセスしようとしましたが、失敗しました。その理由は、強力なセキュリティ対策「IP許可リスト」が働いたためです。具体的にOkta側では、事前に承認、信頼済みのIPアドレスからしかトークンを利用できないように、システム設定を行っていました。そのため、攻撃者が自身のインフラ経由でトークンを使おうとしたタイミングで、すぐに接続がブロックされました。以降、当該トークンは無効扱いされるようになりました。
深刻な結果と今後に向けての対策
本攻撃の影響は深刻であり、その内容もフォレンジック調査に要するコストから顧客信頼の失墜まで、多岐にわたります。その一方で、今後の対策に繋がる重要な教訓を見出すことが可能です。
AIベンダー自体もアタックサーフェスになりうることを認識
AIアプリケーションが基幹業務システムと深く統合される現代において、「安全な境界線」という概念はもはや成立しません。AIと連動させたシステムはすべて、従来のセキュリティモデルでは想定されなかった侵入経路になる可能性があります。ここでの課題は、ベンダー自体のセキュリティ体制のみに限られません。AIアプリケーションの機能を実現するために用意した広範なアクセス経路もまた、リスクを生み出すことに注意する必要があります。
AI連携システムに「多層防御」を導入
今回のような攻撃を防ぐ上で有効な対策として、先述したOktaの成功例が挙げられます。セキュリティ対策の全てをツールベンダーに任せきり、絶対に安全だと過信するべきではありません。自社として必要な保護策を検討し、実践することが推奨されます。
• IP許可リスト:全てのAI連携トークンに適用する。
• 地理的な利用制限:APIアクセスに対して設定する。
• アクセスの時間制限:必要に応じて導入する。
• ネットワークの分離(セグメンテーション):機密データを扱うAIアプリケーションに適用する。
認証トークンを格別に機密性の高い情報として扱う
クラウドネイティブ環境において、AI連携機能を支えるOAuthトークンやAPIキーは、従来のパスワード以上に高い機密性を持つことが多々あります。理由として、これらの機密情報により、追加認証を省いてデータやシステムに直接アクセスできるようになる点が挙げられます。そのため、下記のような対策により、当該情報を一層厳重に保護することが重要です。
• 自動ローテーションポリシーを導入する。
• 高権限の認証情報を暗号化ストレージに保管する。
• 異常な利用パターンを監視する。
• 基幹部分の連携には、ハードウェアセキュリティモジュールを使用する。
AIアプリケーションの挙動を監視
AIアプリケーションによるデータ利用が安全であるかを見極められるように、判定の「基準」を策定することが重要です。従来型アプリケーションの多くは、アクセスパターンがある程度決まっていたのに対し、AIツールの場合は、ワークロードや学習要件に応じてデータ利用の傾向が大幅に変化します。しかし、例えばデータリクエストの急激な増加や、普段とは異なるデータソースへのアクセス、想定外の時間における活動などは、侵害の兆候と見なせる場合があります。
AI連携システムのライフサイクルを監視
先に挙げた「SpyCloud」の事例は、連携機能を取り巻くライフサイクル管理の重要性を示しています。不要となった連携機能を定期的にチェックし、特に旧ベンダーやサポート切れサービスに相当するものについては、無効化の措置を取ることが重要です。また、契約の終了時やメンバーの退職時には、認証情報を取り消すための自動ワークフローを導入することが推奨されます。
まとめ
今回のインシデントにより、あらゆるAIツールを一層厳密に監視する必要性が明確化したと言えるでしょう。AI導入の競争を急ぐ一方で、セキュリティの基本を無視するようなことがあってはなりません。本事例が示す通り、わずか一箇所のAI連携部が侵害されただけでも、その影響は広く伝播し、セキュリティ体制を根底から崩される恐れがあります。ここで重要なことは、もはや「サプライチェーンが狙われるかどうか」ではなく、「それを守るために必要な対策を実装しているかどうか」という点にあります。
本記事は2025年9月24日にUSで公開された記事「Domino Effect: How One Vendor's AI App Breach Toppled Giants」をもとにしています。
<関連記事>
・サプライチェーン攻撃とは?~攻撃の起点別に手法と事例を解説~
・Anthropicの脅威インテリジェンスレポートを読み解く~AIが攻撃者の武器になる時
・AI駆動型マルウェアとは何か?~ Vibe Codingを駆使するLAMEHUG、PromptLockを解説
・API(Application Programming Interface)セキュリティとは?
Security GO新着記事
AI侵害のドミノ作用: AIチャットアプリを狙った攻撃が業界全体に波及
(2025年11月19日)
大阪・関西万博に便乗したサイバー犯罪の実態~大型イベントに潜む脅威と備え
(2025年11月17日)
Water Balinsugu(RansomHouse)とは?攻撃手法や特徴を解説
(2025年11月10日)