【ITニュース解説】Palo Alto Networks data breach exposes customer info, support cases

Palo Alto Networksのデータ侵害について、システムエンジニアを目指す初心者にもわかるように解説する。

今回のニュースの中心となるPalo Alto Networks（PAN）という企業は、世界的に有名なサイバーセキュリティ企業だ。企業や組織のネットワーク、システムをサイバー攻撃から守るための様々な製品やサービスを提供しており、いわばセキュリティの専門家である。しかし、そのセキュリティのプロフェッショナルであるPANが、今回、自身のデータ侵害被害に遭ったことが明らかになった。

データ侵害とは、企業が保有するシステム内のデータ、特に顧客の個人情報や企業の機密情報が、外部からの不正なアクセスによって閲覧されたり、盗み出されたりすることだ。今回の事件では、PANの顧客情報とサポートケースの内容が流出した。顧客情報には、顧客の氏名、連絡先（メールアドレスや電話番号）、所属企業などの個人を特定できる情報が含まれるのが一般的だ。サポートケースとは、顧客が製品やサービスに関してPANに問い合わせた際のやり取りや、問題の詳細、解決策などが記録されたものだ。これらが外部に流出したということは、顧客のプライバシーが侵害されただけでなく、企業の機密情報に近い内容までが攻撃者の手に渡った可能性がある。

では、どのようにしてこのようなデータ侵害が発生したのか。今回の事件の核心は、「OAuthトークン」という認証情報が悪用された点にある。システムエンジニアを目指す上で、このOAuthトークンの仕組みを理解することは非常に重要だ。通常、ウェブサービスを利用する際、我々はIDとパスワードを入力してログインする。しかし、多くのサービスでは、例えばGoogleアカウントやFacebookアカウントを使って別のサービスにログインできる機能がある。これは、毎回IDとパスワードを入力する手間を省き、利便性を高めるための仕組みだ。このとき、サービス間で「あなたは確かに本物のアカウント所有者ですよ」と認証するための「一時的な許可証」のようなものが発行される。これがOAuthトークンだ。

このOAuthトークンは、特定のサービスに対して「このユーザーは、このデータへのアクセスを許可している」という情報を伝える役割を持つ。IDとパスワードそのものではないが、このトークンがあれば、IDとパスワードを知らなくても、あたかも正規のユーザーであるかのようにシステムにアクセスできてしまうため、非常に重要な情報となる。有効期限が設定されていることが多いが、期限内であればいつでも利用可能だ。

今回の攻撃では、まずSalesloftが提供する「Drift」というサービスで、先にデータ侵害が発生していた。SalesloftのDriftは、企業がウェブサイト上で顧客とリアルタイムでコミュニケーションを取るためのチャットツールや、顧客との営業活動を支援するマーケティング・営業プラットフォームだ。PANもこのDriftを利用しており、その連携を通じて、PANのSalesforceインスタンスへのアクセス権限を持つOAuthトークンが発行されていたと考えられる。

Driftの侵害によって、このOAuthトークンが攻撃者の手に渡ってしまった。攻撃者は、盗んだOAuthトークンを悪用して、PANが利用している「Salesforce」というシステムに不正アクセスした。Salesforceは、企業が顧客情報を管理し、営業活動やカスタマーサポートを行うための「顧客関係管理（CRM）」システムで、多くの企業にとって最も重要な情報資産の一つだ。顧客情報やサポートケースがここに集約されているのは自然なことである。

攻撃者は、盗んだOAuthトークンを使い、正規のユーザーになりすましてPANのSalesforceインスタンス（特定の企業のSalesforce環境）にログインし、そこから顧客情報やサポートケースのデータを窃取した。つまり、PAN自体が直接攻撃されたわけではなく、PANが利用していた第三者サービスであるSalesloftのDriftの侵害が発端となり、そこから得られた情報（OAuthトークン）を使って、PANのシステム（Salesforce）が間接的に攻撃された形だ。

このような攻撃は「サプライチェーン攻撃」の一種とみなすことができる。サプライチェーン攻撃とは、セキュリティが手薄な関連企業や、製品・サービスの提供元（サプライヤー）を標的にし、そこを踏み台にして、最終的な標的である企業や組織に侵入する攻撃手法のことだ。PANはセキュリティのプロフェッショナルでありながら、自社が利用する第三者サービスのセキュリティリスクを完全に管理しきれなかった、という教訓がここにある。

システムエンジニアを目指す皆さんにとって、この事件は非常に多くの示唆を与えている。まず、OAuthトークンのような認証情報の管理がいかに重要であるか。たとえIDとパスワードが直接漏洩していなくても、トークンが盗まれればシステムへの不正アクセスを許してしまう。そのため、トークンの有効期限を短く設定する、利用範囲を最小限にする、多要素認証と組み合わせるなど、厳重な管理が不可欠となる。

次に、SaaS（Software as a Service）などの外部サービスを利用する際のセキュリティリスクを常に意識する必要がある。多くの企業がSalesforceやDriftのような便利なSaaSを利用しているが、これらのサービスもまた攻撃の標的となる可能性がある。自社が利用する外部サービスが侵害された場合、自社のシステムへどのような影響があるのか、連携するデータの範囲は適切か、といった点を常に評価し、リスク対策を講じる必要がある。

さらに、今回の事件は、セキュリティにおける「多層防御」の重要性も再認識させる。たとえ一つの防御線（ここではSalesloftのDriftのセキュリティ）が突破されても、別の防御線（例えばSalesforce側でのアクセス監視や異常検知）が機能していれば、被害を最小限に食い止められる可能性があったかもしれない。単一のセキュリティ対策に依存せず、複数の対策を組み合わせることが、現代のサイバーセキュリティにおいては必須の考え方だ。

今回のPalo Alto Networksのデータ侵害は、サイバーセキュリティの最前線に立つ企業でさえ、サプライチェーン攻撃や認証情報の悪用という脅威に晒されることを明確に示した。システム開発や運用に携わる者は、常に最新の攻撃手法を学び、自身の担当するシステムだけでなく、その周辺にある関連システムやサービスまで含めた広範なセキュリティ対策を考慮する必要がある。これは、これからのシステムエンジニアにとって、避けては通れない重要な知識とスキルとなるだろう。