マーケットインテリジェンスプラットフォームのKlueは2026年6月19日、同社の統合インフラを標的とした不正アクセスを受け、顧客のSalesforce環境に接続するOAuthトークンが窃取されたことを公式に認めた。恐喝グループ「Icarus」が犯行を声明し、被害組織のリストはセキュリティ企業を含む複数の著名ITベンダーに広がっている。
何が起きたか
Klue CEOのJason Smith氏は6月12日に統合インフラの一部で不正活動を検知したことを明らかにした。調査の結果、攻撃者はレガシー認証情報(旧来の認証情報)から侵入し、KlueとSalesforceなどサードパーティプラットフォームを接続するOAuthトークンを入手。これを使ってKlueと連携している顧客のSalesforce環境に直接アクセスした。
Klueプラットフォーム内に直接保存されている顧客コンテンツへの影響はないとしているが、連携先を経由した被害は深刻な規模に達した。
攻撃の手口:Salesforce APIへの大規模クエリ
セキュリティ企業ReliaQuestとHuntressが独立した調査でこの攻撃の詳細を明らかにした。攻撃者はKlue連携に紐付いたOAuth認証情報を使ってSalesforce APIを長時間にわたってクエリし、Pythonスクリプトを駆使して大量データを抽出した。
Huntress自身もKlue経由でSalesforceが侵害されており、ビジネスコンタクト情報・営業コミュニケーション・価格情報などが盗まれたことを認めている。
被害組織が拡大
Icarusはデータリークサイトで犯行を認め、被害組織に対してSession Messengerでの接触を要求している。現在までに被害を公表した組織は以下のとおりだ。
- Recorded Future(脅威インテリジェンス企業)
- Tanium(エンドポイント管理)
- Jamf(Appleデバイス管理)
- Sprout Social(SNS管理)
- Gong(セールスインテリジェンス)
- Insurity(保険業向けソフトウェア)
- Huntress(セキュリティ企業)
各社ともSalesforceインスタンスのデータが盗まれたが、自社プラットフォームや決済情報には影響がないと説明している。また、盗まれたビジネスコンタクト情報を使ったフィッシング・ソーシャルエンジニアリング攻撃への警戒を呼びかけている。
KlueはCrowdStrikeと連携して対応にあたり、影響を受けた認証情報とトークンを即座に失効させ、不正コードを削除、当局へ通報済みだ。
日本のIT現場への影響
SaaS間連携を積極的に進めてきた組織ほど、今回のような「連携サービスを経由した横断的な侵害」のリスクを抱えている。日本企業でも以下のチェックを今すぐ行うべきだ。
- OAuthアプリ・Connected Appsの棚卸し — 退職者が設定した、または試験的に設定したまま放置された連携はないか
- 統合サービスの認証情報ローテーション — Klueのような統合サービスが使う認証情報を定期的に更新しているか
- Salesforce APIアクセスログの監視 — 通常と異なるクエリパターン(大量・長時間・Pythonスクリプト)を検知できるか
- 連携スコープの最小権限確認 — サードパーティ連携に必要以上の権限を与えていないか
筆者の見解
今回の攻撃で最も注目すべきは、侵害の入口が「レガシー認証情報」だった点だ。ゼロトラストアーキテクチャをどれほど丁寧に構築しても、古い認証情報が一本残っていれば攻撃者はそこから入ってくる。「今動いているから大丈夫」は通用しない——これは何度でも繰り返す価値がある教訓だ。
もう一つの核心はNon-Human Identity(NHI)の管理だ。OAuthトークン・APIキー・サービスアカウントといった「人間ではない主体」のアイデンティティは、人間のアカウント管理に比べて圧倒的に後回しにされやすい。今回のKlueのケースはまさにその典型だ。SaaS連携のNHI管理こそが、業務自動化・効率化のボトルネックを解消しながら安全を保つ鍵になる。
ゼロトラストの観点では、常時アクセス権を持つ統合サービスの認証情報こそが最大のリスクだ。Just-In-Time(JIT)アクセスの考え方をサービス間連携にも適用し、必要なときだけ権限を与え、使い終わったら失効させる仕組みが求められる。VPNの時代が終わりを告げているのと同様に、「設定したらずっと有効」なOAuth連携の運用も見直しどきだ。
日本の多くの企業ではSaaS導入が先行し、連携管理が追いついていないケースが目立つ。今回の事案を「海外の話」で終わらせず、自社のSaaS連携を棚卸しするきっかけにしてほしい。
出典: この記事は Klue OAuth breach victim list grows as Icarus hackers claim attack の内容をもとに、筆者の見解を加えて独自に執筆したものです。