Salesforceでユーザーになりすました不正アクターを見抜くのは、非常に困難です。一度不正アクターが正規の認証情報を手に入れると、管理者になりすまし、機密データにアクセスして持ち出すことができます。しかも、多くの場合は警告が出ることすらありません。
攻撃者はユーザーの身元を切り替えることで、大規模な組織の中に紛れ込み、目立たずに行動できます。Salesforceには、複雑に入り組んだプロファイル、権限セット、ロール、システム権限の階層が存在するため、こうした攻撃を特定して防ぐのは容易ではありません。
本記事では、数百万件のレコード流出につながった実際のなりすまし攻撃の事例を解説し、ユーザーなりすまし攻撃を防ぐ方法について紹介します。
侵害の手口
ある大手多国籍企業が、Salesforce CRMから数百万件ものレコードが持ち出されていたことを発見し、私たちに相談を寄せてきました。詳細な調査の結果、不正アクターがいかにして発覚を免れていたのかを突き止めました。
侵害の経緯は次のとおりです。
- 組織のSalesforce環境に精通していた元従業員が、ヘルプデスクを言いくるめて自分のパスワードをリセットさせました。
- パスワードをリセットすると、アカウントの凍結を解除し、以前の権限をすべて取り戻しました。その後、権限を引き上げてスーパー管理者となりました。
- スーパー管理者権限を手に入れると、ユーザーになりすまして体系的に機密データを探し始めました。
- これらのセッションは日常的なものに見えました。精査しなければ、これらのセッションは日常的なITサポートの作業のようでした。しかし、私たちのリスク評価では、その頻度とタイミングが不審な兆候を示していました。
- 最終的に攻撃者は、セキュリティ対策が不十分なサードパーティ製アプリを利用し、数百万件のレコードを気づかれずに持ち出しました。
Salesforceにおけるデータリスクの診断
100万を超えるユーザーを抱えるこの環境は、もともと管理が難しいものでしたが、いくつかの回避可能な主要リスクがデータ侵害の一因となっていました。
以下は、明らかになった点です。
1. 管理者権限を持つ凍結アカウント
この組織には600を超えるスーパー管理者アカウントがあり、その多くが凍結されていました。しかし、これらの凍結アカウントには依然としてフルの権限が残されていました。Salesforceでは、アカウントを凍結しても権限は削除されません。アカウントが再有効化されると、以前のアクセス権がすべて復元されます。
これは重大なリスクにつながります。Scattered Spiderのような脅威アクターは、ソーシャルエンジニアリングを使ってヘルプデスクをだまし、パスワードやMFAをリセットさせることで、権限が残ったままの凍結アカウントを再有効化します。
2. 古いアプリの割り当て
この組織には、使われなくなったアプリの割り当てが数十件も残されていました。こうした使われなくなったアプリの割り当てには、OAuthトークンや権限が残っていることが多く、攻撃者や悪意のある内部者が機密データにアクセスし、持ち出すためのバックドアとなります。
3. サンドボックス環境に保存された本番データ
おそらく最も深刻な問題は、この組織の本番データが巨大なサンドボックス環境と同期されていたことです。サンドボックス環境には通常、本番環境ほど厳格な制御がなく、機密データと緩いアクセス制御が危険な形で混在することになります。
Salesforceでユーザーなりすましを防ぐ方法
ユーザーなりすましを見抜くのは難しいものの、この侵害は防ぐことが可能でした。リスクを塞ぐための対策は次のとおりです。
不要な権限を削除する
不要になった権限を監査し、削除します。アカウントを凍結する際は、その権限を削除し、攻撃対象領域を減らすとともに監査を容易にします。定期的なレビューにより、最小権限の原則を徹底できます。
使われていないアプリの割り当てを取り消す
サードパーティ製アプリへのアクセスを監査し、不要になった割り当てを削除します。これにより、不必要な露出をなくし、放置された連携を経由したデータ流出リスクを軽減できます。
本番データとサンドボックスデータを分離する
本番データをサンドボックス環境に同期させないことがベストプラクティスです。環境を分離しておくことで、誤ってデータが漏洩するのを防ぎ、より強固なアクセス制御を維持できます。
Varonisが提供するソリューション
上記の推奨事項を実行するのは、特に大規模な組織では難しい場合があります。Varonisは、リスクを排除し脅威を検知するための最も包括的なSalesforceセキュリティソリューションを提供しています。自動修復機能により、セキュリティと脅威検知をスケーラブルに維持できます。
適切な権限設定
Varonisは、各ユーザーの実効権限とその取得経路を可視化します。さらに、凍結アカウントや使われていないアカウントから権限を削除するなど、自動修復によって権限を適正化できます。
サードパーティ製アプリのリスクを管理する
Varonisは、すべての接続されたサードパーティ製アプリを特定し、そのリスクを評価するとともに、アクティビティを監視します。承認されていない、または使われていないアプリ接続を自動的に削除できます。
異常なアクティビティを検知する
Varonisは、Salesforceやより広範なデータ環境を継続的に監視し、権限昇格、大量のオブジェクトアクセス、データ持ち出しといった不審な挙動を事前に検知します。Varonisはアプリ間でIDを関連付け、Okta経由でログインしたユーザーがSalesforceにアクセスし、そのデータを個人アカウントに送信するといった脅威を可視化します。
Varonis for Salesforceを試す
機密データを保護するためには、それがどこに存在し、誰がアクセスでき、どのように利用されているのかを把握する必要があります。これらすべてを1つのプラットフォームで実現できるのは、Varonisだけです。
Varonisは、SalesforceをはじめとするSaaSアプリ、クラウド、オンプレミスのデータを保護します。
Salesforce環境にどのようなリスクが潜んでいるのか知りたいですか。今すぐ無料のデータリスク評価を始めましょう。
