Klue二重恐喝事件：イカロスが盗難データを削除する一方、第二のハッカー集団が195の被害者に身代金を要求

2026年6月12日、マーケットインテリジェンスプラットフォーム「Klue」は自社の統合インフラに不正アクティビティを確認しました。この侵害は、新興の恐喝グループ「イカロス（Icarus）」によって実行されました。イカロスはこれまでにリークサイトに2件の被害者を掲載したのみの新興グループです。攻撃者は、統合サービスアカウントに関連付けられた侵害されたレガシー認証情報を悪用してアクセスを獲得。その後、顧客がKlueをSalesforceなどのサードパーティプラットフォームに接続するために使用していたOAuthトークンを収奪しました。これらのトークンを用いて、イカロスは複数の顧客環境からSalesforce CRMデータ（取引先担当者、商談情報、営業コミュニケーションデータなど）を自動クエリで一括窃取しました。

異例の展開：イカロスがデータを削除、第二の集団が介入

イカロスによるデータ削除。 TechCrunchが確認した6月25日付の顧客向けアップデートで、Klueは次のように述べています。「イカロスは、Klueの顧客から取得したデータを削除する措置を取っていると当社に伝えてきました。イカロスのサイトはダウンしたままであり、イカロスが実際にデータ削除の措置を取っている兆候があります」。

名前もない第二の集団の出現。 イカロスがデータを破棄しているように見える一方で、第二の、名前も明かされないハッカー集団が盗まれた情報の少なくとも一部を入手し、Klueの顧客を直接脅迫しています。Klueの木曜日のアップデートによると、「イカロスは、もう一方の関係者はデータのサンプルしか保有しておらず、日和見的かつ詐欺的に、当社の顧客の一部に直接金銭の支払いを求めていると当社に伝えてきました」。この第二の集団は、自らの恐喝サイトに、被害を受けたとされる企業のリストを掲載しました。

約195の組織が影響

複数の報道によると、約195の組織からデータが盗まれました。The Registerは「数百」の被害者を報告しており、他の情報源は195の企業が直接の身代金要求を受けたと特定しています。被害が確認されている企業には、Huntress、Recorded Future、HackerOne、Jamf、Tanium、Gong、OneTrust、Snyk、Sprout Social、Insurityなどが含まれます。なお、LastPassが初期の未確認情報とは異なり、情報源で確認された開示リストには含まれていなかった点は重要です。

攻撃の仕組み

• 侵入経路： 攻撃者は、使われなくなった統合サービスに関連する、長期間休眠状態にあった侵害済みAPI認証情報を悪用し、Klueのバックエンドにアクセスしました。
• トークン収奪： 顧客がKlueにSalesforceやその他のプラットフォーム（Gongを含む）への接続を許可していたOAuthトークンを収奪するための悪意のあるコードが仕掛けられました。
• データ窃取： これらのトークンを用いて、攻撃者は接続されたSalesforce組織に対して自動クエリを実行し、取引先担当者情報、価格情報、商談メモなどのCRMデータを一括抽出しました。
• SaaSサプライチェーン侵害： このインシデントは、サードパーティ統合を介したサプライチェーン攻撃として説明されています。Klueは、Klueプラットフォーム自体に保存されていた顧客コンテンツが影響を受けたという証拠はないと述べています。

公式ガイダンス：Klueは顧客に支払いを控えるよう勧告

CrowdStrikeの支援。 Klueは公に、調査を支援し対応策を検証するために「CrowdStrikeを起用した」ことを確認しました。同社は直ちに、影響を受けた認証情報とトークンの失効、不正コードの削除、影響を受けた統合の無効化、法執行機関への通知などの措置を講じました。

第二の恐喝集団に関する勧告。 6月25日のアップデートで、Klueは顧客に対し、名前もない第二の集団に支払いをしないよう勧告しました。代わりにKlueは、影響を受けた顧客に対し、恐喝の要求に応じる前にデータサンプルの提示を求めること、そしてそのような連絡はすべて直接Klueまたは法執行機関に転送して確認するよう推奨しています。同社は、第二の集団はデータの「サンプル」しか保有しておらず、日和見的かつ詐欺的に行動していると強調しています。

継続的な是正措置。 Klueは、追加のセキュリティ対策を実施するために、セキュリティ管理、認証情報管理、監視、およびデプロイメントプロセスの全面的な見直しを実施しています。