【ITニュース解説】GitHub Account Compromise Led to Salesloft Drift Breach Affecting 22 Companies
2025年09月09日に「The Hacker News」が公開したITニュース「GitHub Account Compromise Led to Salesloft Drift Breach Affecting 22 Companies」について初心者にもわかりやすく解説しています。
ITニュース概要
Salesloft社のGitHubアカウントが攻撃者に不正アクセスされ、それが原因で同社のDriftアプリで情報漏洩が発生した。このインシデントにより顧客企業22社が影響を受けた。不正アクセスの方法は現在調査中である。(112文字)
ITニュース解説
近年、企業のソフトウェア開発において中心的な役割を担うプラットフォームが、深刻なサイバー攻撃の起点となる事件が発生した。顧客エンゲージメントプラットフォームを提供するSalesloft社は、同社のアプリケーション「Drift」に関連するデータ侵害の原因が、自社のGitHubアカウントへの不正アクセスであったことを明らかにした。このインシデントは、ソフトウェア開発の根幹を支えるツールのセキュリティがいかに重要であるか、そして一つの企業のセキュリティ侵害が、その顧客にまで連鎖的に影響を及ぼす現代的なリスクを浮き彫りにしている。
まず、この事件を理解する上で重要なのが「GitHub」の役割である。GitHubは、ソフトウェアの設計図とも言えるソースコードを管理・共有するためのプラットフォームだ。世界中の開発者が利用しており、チームでの共同開発やバージョン管理に不可欠なツールとなっている。しかし、その利便性の裏側で、GitHubは攻撃者にとって非常に魅力的な標的となる。なぜなら、ソースコードの中には、アプリケーションの動作ロジックだけでなく、外部サービスに接続するためのAPIキーやパスワードといった機密情報(シークレット情報)が誤って含まれていることがあるからだ。また、ソースコードそのものを盗み出すことができれば、アプリケーションの脆弱性を探し出し、より巧妙な攻撃を仕掛けるための足がかりを得ることができる。つまり、GitHubアカウントを乗っ取ることは、企業のデジタル資産が保管された金庫の鍵を手に入れることに等しいのだ。
今回のSalesloft社の事件調査を担当したのは、Google傘下の著名なサイバーセキュリティ企業であるMandiant社だ。Mandiant社の報告によると、「UNC6395」という識別名で追跡されている攻撃者が、2025年の3月から6月という長期間にわたり、Salesloft社のGitHubアカウントにアクセスしていたことが判明した。攻撃者がどのようにして最初にアカウントへ侵入したのか、その具体的な方法は現時点では特定されていない。考えられる侵入経路としては、フィッシング攻撃による認証情報の窃取、他のサービスから漏洩したパスワードの使い回し、あるいは多要素認証を突破する高度な手口などが推測されるが、詳細は今後の調査を待つ必要がある。重要なのは、攻撃者が一度侵入に成功した後、数ヶ月間にわたって検知されることなく潜伏し、活動を続けていたという事実である。この潜伏期間中に、攻撃者はDriftアプリケーションのソースコードを徹底的に調査し、内部構造やシステム間の連携方法を把握した上で、最終的なデータ窃取を実行した可能性が高い。
この事件の影響はSalesloft社一社にとどまらなかった。攻撃者はGitHubから得た情報を悪用してDriftアプリケーションのシステムに侵入し、結果としてDriftを利用していた22社の顧客企業に関連するデータが侵害される事態へと発展した。これは「サプライチェーン攻撃」と呼ばれる典型的な例である。サプライチェーン攻撃とは、セキュリティ対策が比較的強固な大企業を直接狙うのではなく、その企業が利用している取引先やサービス提供者など、相対的にセキュリティが手薄になりがちな関連組織を踏み台にして、最終的な標的に到達する攻撃手法だ。現代のシステムは、様々な外部のサービスやソフトウェアを組み合わせて構築されている。そのため、自社のセキュリティをどれだけ固めても、利用しているサービスの一つに脆弱性があれば、それが侵入口となり、自社、そしてその先の顧客までもが危険に晒される可能性がある。システム開発に携わる者は、自らが作るシステムの安全性だけでなく、利用する外部コンポーネントやサービスの信頼性にも注意を払う必要があるのだ。
このインシデントは、将来システムエンジニアを目指す者にとって、多くの重要な教訓を含んでいる。第一に、開発ツールのアカウント管理の徹底である。特にGitHubのようなソースコード管理システムのアカウントには、推測されにくい強力なパスワードを設定し、必ず多要素認証(MFA)を有効化することが基本中の基本となる。また、不要になったアカウントの削除や、各開発者のアクセス権限を必要最小限に留める「最小権限の原則」を遵守することも、リスクを低減する上で不可欠だ。第二に、ソースコード内にパスワードやAPIキーといった機密情報を直接書き込まないという、セキュアコーディングの習慣を身につけることの重要性である。これらの情報は、専用のシークレット管理ツールを用いてコードとは分離して管理するべきだ。第三に、インシデントは起こりうるという前提に立ち、不審なアクティビティを早期に検知し、迅速に対応できる体制を整えることの必要性である。長期間にわたる不正アクセスを見過ごしてしまった今回の事例は、定期的なログの監視や監査の重要性を示唆している。このSalesloft社の事件は、単なる一つのデータ侵害事例ではなく、現代のソフトウェア開発環境に潜むリスクと、それに対処するために開発者一人ひとりが持つべきセキュリティ意識の重要性を改めて問いかけるものなのである。