セールスフォースがクラウド統合アプリ「Klue Battlecards」を無効化、顧客データへの不正アクセスが発覚

2026年6月、セールスフォースは競合分析プラットフォーム「Klue Battlecards」のアプリ統合を緊急停止した。同社のセキュリティチームが、Klue Battlecardsを介した不正なアクセス活動を検知し、顧客データの一部が unauthorized にアクセスされた可能性があると発表した。このインシデントは、セールスフォースプラットフォーム自体の脆弱性ではなく、Klue側の統合基盤における認証情報の不備を悪用したものだった。被害を受けた顧客企業の一つである Huntress は、自社のセールスフォースアカウントから営業関連データ（連絡先、見積書、メッセージングなど）が流出したことを確認している。一方で、同社のエージェントやテレメトリーデータ、支払い情報、パスワードなどの機密情報は影響を受けていないという。この事態を受け、セールスフォースは Klue Battlecards との接続を即時停止し、当面の間は再接続ができない状態となっている。被害の全容解明と再発防止策の実施が進められている。

なぜセールスフォースがKlue Battlecardsを緊急停止したのか

セールスフォースが Klue Battlecards の統合を停止した直接の理由は、同社のセキュリティチームが Klue 側の統合インフラにおける「異常な活動」を椟知したことにある。具体的には、OAuth トークンを悪用した不正アクセスが行われ、その結果として一部の顧客データが unauthorized にアクセスされた可能性が指摘されている。同社は公式声明で「この問題は Klue のアプリ接続に限定されたものであり、セールスフォースプラットフォーム自体の脆弱性に起因するものではない」と明言している。これは、あくまで Klue 側の統合基盤に問題があったことを示しており、セールスフォースの基盤そのものが侵害されたわけではないという点で、システム全体の信頼性に与える影響は限定的だと言える。

しかしその一方で、このインシデントがセールスフォースの顧客企業にも直接的な影響を及ぼしたことも事実だ。例えば、サイバーセキュリティ企業 Huntress は、自社のセールスフォースアカウントから「ビジネス上の連絡先」「価格見積書」「その他の営業関連データやメッセージング」が流出したことを明らかにしている。その一方で、同社は「脅威データ」「パスワード」「支払いカード情報」「Huntress エージェントや収集したテレメトリーに関するエンジニアリングデータ」などの機密情報は影響を受けていないと述べている。この点からも、流出したデータの範囲は限定的であったものの、営業活動に関わる機密情報が外部に漏洩したことで、ビジネス上のリスクが生じたことは否めない。

OAuthトークンの不正利用：被害の仕組みと経緯

Klue 側の調査によると、このインシデントは 2026年6月12日に Klue の統合インフラに対する unauthorized な活動が椟知されたことで明らかになった。攻撃者は、統合サービスに関連付けられた「レガシー資格情報」を悪用してアクセスを取得し、その後、OAuth トークンを不正に取得したとされている。この OAuth トークンを用いて、攻撃者は Klue とサードパーティプラットフォーム（セールスフォースを含む）との接続を悪用し、複数の顧客環境に保存されたデータにアクセスしたという。Klue の CEO である Jason Smith は「現時点の調査では、インシデントは影響を受けたサードパーティプラットフォームに限定されており、Klue プラットフォーム内に保存された顧客コンテンツに影響はなかった」と述べている。

攻撃の手法として特筆すべきは、攻撃者が Klue の顧客が使用する OAuth トークンを収集するための「コードアップデート」を不正にプッシュした点だ。このコードアップデートによって、顧客が Klue と自社システムとの接続に使用する OAuth トークンが窃取され、その結果として顧客環境内のデータにアクセスされるという仕組みだった。Klue はこの事態を受け、影響を受けた資格情報やトークンの失効、不正なコードの削除、リモートアクセスの停止、影響を受けた統合の無効化、そして包括的な調査の実施といった対策を講じた。これらの対応は、被害の拡大を防ぐために不可欠な措置であったと言える。

被害を受けた顧客企業の実態：Huntress の事例から見えるリスク

Huntress の事例は、このインシデントが実際のビジネスにどのような影響を及ぼすのかを如実に示している。同社はサイバーセキュリティ分野の企業であり、セールスフォースを活用して顧客管理や営業活動を行っていた。同社によると、攻撃者によって「セールスフォースのデータがダウンロードされた」というメールが従業員に送信され、48時間以内に何らかの対応を求める内容であったという。このメールの内容から、攻撃者が特定の顧客データにアクセスしたことを示唆しており、ビジネス上の機密情報が流出した可能性が高い。

その一方で、Huntress は「脅威データ」「パスワード」「支払いカード情報」「エージェントやテレメトリーに関するエンジニアリングデータ」などの機密情報が流出した形跡はないと述べている。これは、流出したデータが営業活動に関わるものに限定されていたことを示しており、サイバーセキュリティ企業としての信頼性に直接的な打撃を与えるものではなかったと言える。しかし、それでも営業関連の機密情報が流出したことで、顧客との関係悪化や競合他社への情報漏洩といったリスクが生じる可能性は否定できない。

企業が取るべき対策：OAuthトークンの管理と監視強化

このインシデントは、OAuth トークンをはじめとする認証情報の管理と監視の重要性を改めて浮き彫りにした。攻撃者がレガシー資格情報を悪用して OAuth トークンを窃取し、それを用いて顧客環境にアクセスするという手法は、近年増加しているサプライチェーン攻撃の一形態と見ることができる。企業は、統合サービスやサードパーティアプリとの接続に使用する認証情報について、定期的な監査とローテーションを実施することが求められる。特に、レガシー資格情報の使用はセキュリティリスクを高める要因となるため、最新の認証方式への移行を進めるべきだ。

また、OAuth トークンの発行と利用に関するログの監視も不可欠だ。不正なアクセスや異常な活動を早期に椟知するためには、リアルタイムでのログ分析と異常検知システムの導入が効果的である。セールスフォースや Klue のように、複数のプラットフォーム間で認証情報を共有する環境においては、統合的な監視体制の構築が求められる。さらに、顧客企業側でも、サードパーティアプリの接続状況を定期的に確認し、不要な接続は即座に削除することで、リスクを最小限に抑えることができる。

クラウド統合のセキュリティリスク：サプライチェーン攻撃の脅威

このインシデントは、クラウドサービス間の統合がもたらすセキュリティリスクについても再考を迫るものとなった。サプライチェーン攻撃は、攻撃対象の直接的な脆弱性ではなく、関連するサードパーティサービスの脆弱性を悪用することで、広範な被害を引き起こす手法だ。Klue の事例では、攻撃者が Klue の統合インフラを悪用して OAuth トークンを窃取し、それを用いて顧客環境にアクセスした。このような攻撃は、単一の企業やプラットフォームだけでなく、そのエコシステム全体に影響を及ぼす可能性がある。

企業は、サードパーティサービスとの統合に際して、セキュリティ基準の厳格化と継続的な監視を怠ってはならない。具体的には、サードパーティサービスのセキュリティ認証（例えば SOC 2 や ISO 27001 など）を取得しているかどうかを確認するとともに、定期的なセキュリティ監査の実施を義務付けるべきだ。また、統合に使用する認証情報については、最小権限の原則に基づいて発行し、定期的なローテーションを実施することで、リスクを低減することができる。

今後の展望：再発防止と業界全体のセキュリティ向上に向けて

Klue は、このインシデントを受けて影響を受けた資格情報やトークンの失効、不正なコードの削除、リモートアクセスの停止、影響を受けた統合の無効化、そして包括的な調査の実施といった対策を講じた。これらの対応は、被害の拡大を防ぐために不可欠な措置であったと言える。また、同社は今後、統合基盤のセキュリティ強化と監視体制の見直しを進めるとしている。セールスフォースも、 Klue Battlecards との接続を再開する際には、追加のセキュリティチェックや監視体制の強化を求めることが予想される。

業界全体としても、サプライチェーン攻撃の脅威に対抗するための取り組みが加速することが予想される。例えば、クラウドサービス間の統合におけるセキュリティ基準の標準化や、認証情報の管理に関するガイドラインの策定などが進められる可能性がある。企業は、これらの動向を注視しつつ、自社のセキュリティ体制の見直しを進めることが求められる。また、サイバーセキュリティに関する従業員教育の強化も、インシデントの未然防止につながる重要な取り組みだ。

実務担当者が今すぐ行うべき具体的な対応

このインシデントを踏まえ、実務担当者が今すぐ行うべき具体的な対応について整理しておこう。まず、自社が利用しているサードパーティアプリや統合サービスの接続状況を確認し、不要な接続や古い認証情報が残っていないかを洗い出すことが重要だ。特に、レガシー資格情報や長期間使用されていない認証情報は、セキュリティリスクを高める要因となるため、速やかに削除または更新する必要がある。

次に、OAuth トークンや API キーなどの認証情報について、定期的な監査とローテーションを実施することが求められる。例えば、6ヶ月ごとの資格情報のローテーションや、異常なアクセスパターンの検知システムの導入などが効果的だ。また、サードパーティサービスとの統合に際しては、セキュリティ基準の厳格化と継続的な監視を怠らないようにする。具体的には、サードパーティサービスのセキュリティ認証の取得状況や、過去のセキュリティインシデントの有無を確認し、リスクが高いと判断される場合には、代替サービスへの移行を検討することも必要だろう。

最後に、従業員に対するサイバーセキュリティ教育の強化も忘れてはならない。特に、フィッシングメールや不正なコードアップデートなど、攻撃者が悪用する手法についての周知徹底が重要だ。また、万が一インシデントが発生した場合の対応手順や、報告体制についても整備しておくことで、被害の拡大を防ぐことができる。これらの対応を通じて、自社のセキュリティ体制を強化し、サプライチェーン攻撃の脅威に備えることが求められる。