Klue経由のSalesforce侵害でOAuthトークンが悪用、24社以上の営業データが流出―SaaS連携の落とし穴が露呈

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo




「うちもSalesforceに複数のSaaSを連携しているが、連携先が侵害されたらどうなるのか?」
「OAuthトークンを盗まれると、パスワードなしに自社データにアクセスされるのか?」

チップス

ボス、KlueってSalesforceと連携するSaaSが侵害されたって聞いたんでしゅ。うちも色々なSaaSをSalesforceに連携してるんでしゅけど……。

ボス

そこが今回の核心だ。直接Salesforceが破られたわけではない。連携先のSaaSが破られ、その連携に使っていたOAuthトークンが盗まれた。自社には何もしていないのに、自社のCRMデータが抜き出された典型的なSaaSサプライチェーン攻撃だ。

競合情報プラットフォーム「Klue」が2026年6月11〜12日にかけて不正アクセスを受け、Salesforceとの連携に使われていたOAuthトークンが悪用された。
攻撃グループ「Icarus」が窃取したトークンを使い、Klueを利用する企業のSalesforceへパスワード不要でアクセスし、営業データを大量に持ち出した。
現時点でHuntress・Recorded Future・Taniumなど24社以上への影響が確認されており、最大195社のKlue顧客が潜在的な被害範囲にある。

  • SaaSのOAuthトークンを盗んだだけで、被害企業のSalesforceに不正アクセスが成立
  • 24社以上に営業データ(顧客情報・価格・商談メモ)流出、最大195社が被害範囲
  • Salesforceは6月17日にKlue連携を無効化、連携SaaSのOAuth権限の棚卸しが急務

この記事では、OAuthトークンを使ったSaaSサプライチェーン攻撃の仕組みと、企業が今すぐ取れる対策を解説する。
Salesforceを含む複数のSaaSを連携している企業にとって、他人事ではない事件だ。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

Klue侵害の概要と攻撃者「Icarus」による被害の広がり

この事件は、「直接攻撃を受けていない企業のデータが流出した」という典型的なサプライチェーン攻撃の構造を持つ。

レガシー認証情報でKlueに侵入、OAuthトークンを使ってSalesforceへ横展開

攻撃者Icarusは、Klueのレガシー連携サービスに関連する侵害済み認証情報でKlueのシステムに侵入した。
その後、Klueが顧客のSalesforceと通信するために使っていたOAuthトークンを入手し、Salesforceの視点からは正規のKlueとして振る舞うことで大量のCRMデータを取得した。

流出したデータの主な内容は以下の通りだ。

  • ビジネス連絡先(顧客名・メールアドレス・電話番号・住所)
  • 営業コミュニケーションの内容
  • 価格情報・商談メモ
  • サポートケースデータ(LastPassが確認)
チップス

OAuthトークンって、一回盗まれたらずっと使えるんでしゅか?

ボス

有効期限や自動ローテーションが設定されていなければ、長期間使い回せる。それが今回の「レガシー認証情報」の問題だ。古いトークンほど管理が甘くなりがちで、攻撃者にとっては格好の標的になる。

SaaSサプライチェーン攻撃の構造と企業が取るべき対策

今回の事件が示す教訓は、「自社が攻撃されていなくても、連携先が攻撃された時点で自社データは危険に晒される」という現実だ。

OAuthアクセス権の棚卸しと不要な長期トークンの無効化が急務

Salesforce・Slack・Google Workspaceなど主要なSaaS平台では、連携アプリの一覧と付与しているOAuth権限を管理者が確認できる。
今すぐ実施すべき対策は以下の通りだ。

  • 連携SaaSの棚卸し:Salesforceの「接続済みアプリ」一覧を確認し、使用していないKlueやその他SaaSの接続を即刻無効化する
  • OAuthスコープの最小化:連携SaaSに付与するOAuth権限を必要最小限に絞り、CRM全体へのフルアクセスは与えない
  • トークン有効期限の設定:長期間有効なトークンを発行せず、自動ローテーションまたは短期トークンに移行する
  • SaaSセキュリティ評価の実施:重要データへのアクセス権を持つSaaSのセキュリティ体制を定期的に評価する

Salesforceは今回の事件を受けてKlue連携を6月17日に無効化した。
しかし自社環境では何の通知もなく連携が維持されているケースが多い。
一度設定したSaaS連携は「放置」されやすく、それが攻撃者の侵入路になる実態が今回改めて示された。

チップス

Salesforceに何十個もSaaS連携してるんでしゅけど、全部確認するの大変でしゅよ……。

ボス

大変でも、やらなければ次の被害企業になる可能性がある。Salesforceの管理コンソールから「接続済みアプリ」の一覧を開いて、見覚えのないアプリや使っていないアプリを今すぐ確認しろ。

まとめ:SaaS連携の「見えないリスク」は今すぐ棚卸しが必要

KlueとSalesforceの連携を悪用したIcarusの攻撃は、直接自社が標的でなくても被害者になるSaaSサプライチェーン攻撃の典型例だ。
OAuthトークンひとつで企業のCRMデータに無制限アクセスが可能になる。
Salesforceをはじめとする主要SaaSに連携しているアプリを今すぐ棚卸しし、不要な連携と長期トークンを削除することが、次の被害を防ぐ最初の一手だ。

チップス

今日中にSalesforceの接続済みアプリ一覧を確認して、使ってないのを全部外しましゅ!

ボス

ふふふ。それが正しい行動だ。「使っていないつもり」が一番危ない。確認してから判断しろ。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次