Klueサプライチェーン攻撃の全容：放置された認証情報から始まった連鎖的データ流出

内部に侵入した攻撃者は、顧客環境からSalesforceやその他サードパーティ統合用のOAuthトークンを収集する悪意のあるコードアップデートをプッシュしました。入手したトークンを使用してKlueアプリになりすまし、Salesforce REST APIを介して接続先のSalesforce CRM環境にクエリを実行。約24時間の間に、15分あたり最大1,000件ものAPI呼び出しを集中して行いました。

この攻撃は、Drift（Salesloft）やGainsightへの攻撃に続き、10ヶ月の間に発生した3件目のSalesforce OAuthサプライチェーン侵害です。

📋 影響を受けた組織

攻撃者は窃取したOAuthトークンを使用して、Klueの数百に及ぶエンタープライズ顧客のSalesforceデータにアクセスしました。以下の組織が被害を公に確認、または被害者として名前が挙がっています。

Huntressはこのインシデントを「セキュリティのドミノ効果」と表現し、後にIcarusがHuntressのデータをリークサイトに掲載したと報告しています。

🔑 攻撃の連鎖

攻撃の連鎖は直接的で、SaaSセキュリティにおける一般的な盲点、すなわち「忘れられた認証情報」を突いたものでした。

1. 初期侵入（6月11日）: 「Icarus」グループが、Klueが本番環境にデプロイせず、削除もしていなかったプロトタイプ統合用のOAuth認証情報を発見。
2. バックエンドアクセスとコード改ざん: この認証情報でKlueのバックエンドに認証し、統合レイヤーに悪意のあるコードをプッシュ。
3. トークン収集: コードはKlueが保持する全顧客統合用のOAuthトークン（Salesforce、HubSpot、Gong、SharePoint、Zoomなど）を収集。
4. データ窃取: 入手したトークンで直接Salesforce環境にクエリを実行。他の認証情報は不要だった。

📊 データ窃取の詳細

攻撃は静かに行われたわけではありません。セキュリティ企業ReliaQuestの観測によると、攻撃者は15分間に約1,000件のAPIクエリを実行し、6時間を超える継続的な抽出を行いました。全体の窃取活動は約24時間続きました。

攻撃者はSalesforce REST APIのエンドポイント（例: /services/data/v59.0/query/* ）に対し、自動化されたPythonスクリプトを使用してバルク抽出を実行。窃取されたデータはCRMおよび営業情報（ビジネス連絡先、販売リード、顧客サポートケース履歴、氏名、メールアドレス、電話番号、価格情報など）に限定され、影響を受けた組織の内部システムや認証情報は含まれていませんでした。

⚡ KlueとSalesforceの対応

• Klue: 6月12日に不正アクティビティを検知し、6月13日から顧客への通知を開始。統合を停止し、影響を受けた顧客と協力してトークンのローテーションを実施。同社は、攻撃者が侵害されたレガシー認証情報を使用してOAuthトークンを入手し、顧客のSalesforce環境にアクセスしたことを確認。
• Salesforce: 2026年6月17日19:22（BST）に、顧客への事前警告なしに、影響を受けた全顧客インスタンスでKlue Battlecardsアプリを無効化。その後、接続しているすべてのKlue顧客に対し、OAuthトークンのローテーションとAPI監査ログの確認を要請。

🕵️‍💻 「Icarus」恐喝グループと「mr bean」の正体

新たに追跡されている犯罪グループ 「Icarus」 が犯行を主張しています。このグループは2026年4月頃から活動を開始し、6月下旬に自らのリークサイトで被害者のリストを公開し始めました。

Icarusは、ハンドルネーム 「mr bean」 （小文字）を使用して被害企業にメールで接触し、窃取したSalesforceデータを公開しない代わりに金銭を要求。6月22日には、Huntressなど複数の被害者から盗んだデータをリークサイトに公開し始めました。

このグループは、この特定の「Klue→OAuth→Salesforce」というパイプラインを利用した初のグループであり、同様のサードパーティ製Salesforce統合を標的とした以前のShinyHunters主導の攻撃からの変化を示しています。Huntressは、Icarusが公開したデータはこれまで報告された範囲と一致し、Huntressに関するファイルは限定的であったことを確認しています。

🔍 なぜこれが重要なのか

この侵害は孤立したインシデントではありません。Drift（Salesloft）やGainsightへの攻撃に続き、1年足らずの間に発生した3件目の大規模なSalesforce OAuthサプライチェーン侵害です。

攻撃のパターンは一貫しています。すなわち、統合ハブを標的にし、OAuthトークンを盗み、信頼されたサードパーティアプリからのクエリであるために警報を発することなくCRM環境にアクセスするというものです。

Klueの侵害は、SaaS環境における**使われなくなった認証情報（orphaned credentials）**の危険性を浮き彫りにしました。プロトタイプ用に作成され、廃止されることのなかった単一の認証情報が、数百ものエンタープライズSalesforce組織にとっての唯一の故障点（Single Point of Failure）となったのです。