【ITニュース解説】Zscaler data breach exposes customer info after Salesloft Drift compromise

作成日: 2025年09月03日更新日: 2025年09月05日

ITニュース概要

サイバーセキュリティ企業のZscalerでデータ侵害が発生した。攻撃者がSalesforceシステムに不正アクセスし、顧客情報やサポート対応の記録が盗まれた。この侵害は、別のシステムSalesloft Driftへの侵害が原因と見られる。

出典: Zscaler data breach exposes customer info after Salesloft Drift compromise | BleepingComputer公開日: 2025年09月02日

ITニュース解説

Zscalerのデータ侵害とその背景：システム連携の落とし穴今回解説するニュースは、サイバーセキュリティを専門とする企業「Zscaler（ゼットスケーラー）」が経験したデータ侵害に関するものだ。セキュリティを扱う企業自身が被害に遭ったという事実は、現代のサイバー攻撃の複雑さと、どんな組織でも油断できない状況を示している。システムエンジニアを目指す皆さんにとって、この事例は、情報セキュリティの重要性と、システム設計・運用における注意点を学ぶ上で非常に良い教材となるだろう。まず、何が起こったのか。Zscalerは、顧客の個人情報や、顧客からの問い合わせ内容（サポートケース）を含む機密情報が、不正アクセスによって盗み出されたことを公表した。これは、顧客にとっては信頼を揺るがす重大な事態であり、Zscalerにとっても企業としての信頼性に大きな影響を与えるものだ。この情報流出の原因は、Zscalerが日々の業務で利用していた「Salesforce（セールスフォース）」というクラウドサービスへの不正アクセスにあった。Salesforceとは、顧客情報管理（CRM）と呼ばれる分野で世界的に広く使われているサービスで、企業が顧客の連絡先、購買履歴、サポート履歴などを一元的に管理し、営業活動や顧客サービスを効率化するために利用される。多くの企業がビジネスの基盤としてSalesforceを活用しており、そこに保存されている情報は非常に価値が高く、攻撃者にとっては格好の標的となる。では、なぜZscalerのSalesforceが狙われたのか。ニュース記事によると、今回の不正アクセスは、Salesforceと連携していた他の二つの外部サービス、「Salesloft（セールスロフト）」と「Drift（ドリフト）」が侵害されたことに端を発している可能性があると指摘されている。Salesloftは営業支援ツール、Driftはチャットボットによる顧客コミュニケーションツールで、これらもまた、現代の企業活動において広く利用されているクラウドサービスだ。これらの外部サービスが侵害された際、攻撃者はZscalerのSalesforceへのアクセスに必要な「APIキー」と呼ばれる情報を手に入れたと見られている。APIキーとは、アプリケーションプログラミングインターフェース（API）と呼ばれるシステム間の連携を行うための「鍵」のようなものだ。例えるなら、あるウェブサイトでSNSアカウントを使ってログインする際に、SNS側のシステムが「このユーザーは認証済みなので、情報を連携しても良いですよ」と許可を出すためのパスワードのような役割を果たす。システムが別のシステムと安全に情報をやり取りできるよう、アクセス権限を証明するために用いられる。もしこのAPIキーが第三者の手に渡ってしまうと、そのキーを持つ者が、あたかも正規のユーザーであるかのように振る舞い、連携先のシステムに不正にアクセスできてしまうのだ。今回のZscalerの事例は、「サプライチェーン攻撃」の典型的な例として捉えることができる。サプライチェーン攻撃とは、直接のターゲットとなる企業を攻撃するのではなく、その企業が利用している協力会社やサービス提供元、あるいは連携しているシステムを足がかりにして本命のターゲットに侵入するサイバー攻撃の手法を指す。Zscaler自体が高いセキュリティ対策を施していても、連携している外部サービスが侵害されれば、そこから自社のシステムに不正アクセスを許してしまうリスクがあるということだ。この事件から、システムエンジニアを目指す皆さんが学ぶべき教訓はいくつかある。第一に、どんなに強固なセキュリティを持つ企業であっても、外部との連携がある限り、その連携部分が弱点となり得るということだ。システムを設計・構築する際には、自社だけでなく、利用する全ての外部サービスや連携するシステムのセキュリティレベルを評価し、リスクを管理する必要がある。第二に、APIキーのようなシステム連携の認証情報は厳重に管理しなければならないこと。漏洩した場合のリスクを最小限に抑えるため、キーの利用範囲を限定したり、定期的にキーを更新したりする運用が求められる。第三に、「最小権限の原則」を常に意識すること。これは、システムやユーザーに与えるアクセス権限は、その業務を遂行するために必要最低限のものにとどめるという考え方だ。例えば、今回のようにSalesloftやDriftのAPIキーがSalesforceへのフルアクセスを許可していたとすれば、それは最小権限の原則に反し、被害を拡大させる要因となる。第四に、多要素認証（MFA）の導入も重要だ。APIキーだけでなく、複数の認証要素を組み合わせることで、たとえ一つが漏洩しても不正アクセスを困難にできる。最後に、セキュリティ対策は一度行えば終わりではなく、常に変化する脅威に対応するために継続的な監視と改善が不可欠であるということだ。定期的なセキュリティ監査や脆弱性診断を行うことで、潜在的なリスクを早期に発見し、対処できる。今回のZscalerのデータ侵害は、現代の複雑なIT環境において、企業が直面するセキュリティリスクの多面性を浮き彫りにした。システムエンジニアとして、単にシステムを構築するだけでなく、そのシステムがどのように利用され、他のシステムとどう連携し、どのようなセキュリティリスクを抱えるのかを深く理解し、対策を講じる能力が不可欠となる。この事例を教訓として、セキュリティ意識の高いエンジニアを目指してほしい。