CRM データは、トークンが自動的に動き始めるまでは穏やかに感じられます。
営業チームは、連絡先名、更新シグナル、パイプラインメモ、サポートコンテキスト、パートナー履歴、通話概要、価格設定、調達メモ、購入者の反対意見を 1 か所に保存します。そのシステムが収益の記憶となります。接続された SaaS アプリがそのメモリへの広範なアクセスを受けると、リスクはアプリ自体を超えて広がります。
2026 年 6 月、Hacker News は、Klue 接続を介して顧客データへの不正アクセスを許可した可能性のある不審な OAuth トークン アクティビティの後、Salesforce が Klue Battlecards アプリの統合を無効にしたと報告しました。 Klue はその後、統合インフラストラクチャの一部に影響を与える不正な活動を発見し、攻撃者が統合サービスに接続されているレガシー認証情報を侵害してアクセスを取得したと発表した。
購入者にとって重要な点は直接的なものです。公開レポートには、Salesforce プラットフォームの脆弱性については記載されていません。彼らはサードパーティの統合パスについて説明しました。これは、多くの企業がセキュリティレビュー中に見逃している部分です。
承認された統合がドアとなる可能性があります。
公的報道が語ること
Salesforce によると、同社はアプリに関わる異常なアクティビティを検出した後、顧客を保護するために Klue Battlecards と Salesforce の間の接続を無効にしました。 Hacker News は、この問題は Klue アプリの接続に限定されており、Salesforce 内の脆弱性に起因するものではないと Salesforce が述べたと引用しました。
クルー氏は、インシデントは統合サービスに関連する従来の認証情報が侵害されたことから始まったと述べた。そこから、攻撃者は、Klue を Salesforce などのサードパーティ プラットフォームに接続するために使用される OAuth トークンを取得しました。クルー氏は、影響を受けた認証情報とトークンを取り消し、不正なコードを削除し、リモートアクセスを停止し、影響を受ける可能性のある統合を無効化し、より広範な調査を開始したと述べた。
ハントレス氏によると、Salesforceアカウントからコピーされたデータには、取引先の連絡先、価格見積、販売関連のデータやメッセージが含まれていたという。ハントレス氏はまた、脅威データ、パスワード、ペイメントカードデータ、エージェントやテレメトリに関連するエンジニアリングデータは影響を受けないと述べた。その後の報道では、ハントレスに関連するデータがリークサイトに出現したとされ、ハントレスは投稿された3.4GBのデータセットが正当なもので、Salesforce CRMデータに限定されていると認めたという。
Datadog Security Labs は、このパターンを Salesforce インスタンスに対する Klue サプライチェーン攻撃として説明しました。その記事によると、SalesforceとGongのOAuthトークンがすでに収集され、自動化されたAPIコールが開始された後、2026年6月13日にKlueが顧客に警告したという。 ReliaQuest の報告によると、攻撃者は侵害された Klue 統合サービス アカウントを通じて認証され、OAuth トークンが生成され、自動スクリプトを使用して Salesforce REST API エンドポイントに 24 時間近くクエリを実行しました。
ビジネスの教訓を定義するにはこれで十分です。 SaaS リスクは現在、サードパーティの承認、古いサービス資格情報、アプリの許可、API クエリ パターン、トークンの有効期限内に存在しています。
パスの仕組み
OAuth は、あるアプリケーションが別のアプリケーション内で許可を得て動作できるように設計されています。ユーザーまたは管理者がアクセスを許可します。アプリケーションはトークンを受け取ります。これらのトークンを使用すると、アプリケーションは毎回パスワードを要求せずに APIs を呼び出すことができます。
あのデザインは役に立ちますね。また、トークンが実際のビジネス ニーズを超えて存続する場合、接続されたアプリが必要以上に幅広いアクセス権を持っている場合、または統合所有者が馴染みがあるために低リスクとして扱われる場合も危険です。
クルー事件に関する公的報告は、おなじみの連鎖を示しています。
- 統合インフラストラクチャに接続されたレガシー認証情報が最初の足掛かりとなりました。
- 攻撃者はその足がかりを利用して OAuth トークンに到達しました。
- トークンにより、接続された顧客環境へのアクセスが可能になりました。
- 自動化されたスクリプトは、通常の API パスを通じて Salesforce データをクエリしました。
- 誰かがより鋭い質問をするまで、このアクティビティは統合トラフィックのように見えました。
このため、OAuth レビューには通常のユーザー アカウント レビューとは異なる考え方が必要です。人間のユーザーには、役職、マネージャー、ログイン パターン、デバイス、および目に見えるワークフローがあります。接続されたアプリケーションは、多くの場合、広範なアクセス、高い永続性、制限された動作監視を持ち、毎日の固有の所有者は存在しません。
このアカウントは数か月間沈黙を保ち、その後社内で最も大きなリスクとなる可能性があります。
ダメージはどのように見えるか
公開レポートでは、いくつかの具体的な影響分野が示されています。
1 つ目は CRM データの公開です。ビジネス上の連絡先、名前、電子メール、電話番号、住所、見積書、サポートケース情報、取引記録、販売関連のメッセージは、企業に損害を与えるのに十分な場合があります。犯罪者が損害を与えるのにパスワード データベースは必要ありません。 CRM コンテキストは、フィッシング、請求書詐欺、パートナーのなりすまし、投資家の圧力、競合他社の情報、恐喝を強化する可能性があります。
2つ目は交渉の暴露です。販売メモには、購入者が何に関心を持っているかが示されます。価格メモには割引ロジックが示されています。商談レコードには更新のタイミングが表示されます。サポートノートには不満が表れています。これらすべてを利用して、本物だと感じるメッセージで従業員や顧客にプレッシャーをかけることができます。
3 つ目は、後続のソーシャル エンジニアリングです。攻撃者が顧客、アカウント マネージャー、更新日、購入者の懸念事項、および最後のサポート トピックを知っている場合、次の電子メールはそれほどランダムに見えなくなります。普通の会話のように聞こえるかもしれません。
4つ目は風評圧力です。企業は、パスワードと支払いカードは対象外であると言えるかもしれませんが、それは真実かもしれません。購入者には、サードパーティのコネクタがビジネス データに到達したという別のメッセージがまだ聞こえます。そのため、顧客、パートナー、調達チーム、保険会社、経営陣からの疑問が生じます。
5つ目は証拠債務です。トークン イベントの後、企業は迅速な回答を必要とします。
- どの接続アプリがアクセスできましたか?
- どのオブジェクトがクエリされたのか?
- どのフィールドがエクスポートされましたか?
- どの顧客が感動しましたか?
- どのトークンが取り消されましたか?
- どの統合が無効になっていますか?
- どのログが保存されますか?
- 繰り返しのアクティビティを防ぐコントロールはどれですか?
企業がこれらの質問に答えられない場合、インシデントは技術的な封じ込め後もずっと社内で営業や法的会話が続きます。
これが真剣な購入者を怖がらせる理由
怖いのは普通の表面です。
ほとんどの SaaS 環境では、何年にもわたって接続されたアプリケーションが動作します。マーケティング ツール、セールス イネーブルメント ツール、サポート ツール、エンリッチメント ツール、分析ツール、データ ウェアハウス、AI アシスタント、通話レコーダー、BI コネクタ、バックアップ ツール、ローコード オートメーション、統合プラットフォームはすべてアクセスを要求します。多くの人がそれを受け取ります。元のプロジェクトが終了したときにそれを失う人はほとんどいません。
時間の経過とともに、SaaS 資産は影の境界になります。ファイアウォールは強力である可能性があります。 MFA は強力である可能性があります。従業員のデバイスを管理できます。それでも、サードパーティの OAuth トークンは、企業が数カ月または数年前に承認しているため、横の入り口を通過することができます。
中小企業は、顧客の信頼を通じてこのことを実感しています。 1 つのインシデントが企業取引を遅らせる可能性があります。購入者は、統合がインベントリ化され、スコープが設定され、監視され、古くなった場合には取り消されるという証拠を求めます。
中堅企業は調達の抵抗を通じてこのことを感じています。パートナーは、接続されている SaaS ツールのリストを要求します。セキュリティはアクセス スコープを要求します。法務では、誰がどのデータを処理するかを尋ねます。営業担当者は、いつ取引を開始できるかを尋ねます。
エンタープライズ企業は、規模を通じてこのことを実感しています。何百もの部門とツールが何千もの助成金を生み出しています。単一の弱い統合が、リーダーがプライマリ プラットフォームによって保護されていると考えていたデータへのパスになる可能性があります。
専門用語はOAuthです。ビジネス用語は露出です。
チームが今検査すべきこと
完全な接続アプリのインベントリから始めます。インストールされているすべての Salesforce 接続アプリケーション、OAuth 付与、統合ユーザー、サービス アカウント、更新トークン クラス、およびサードパーティ管理パッケージをエクスポートします。 CRM データを扱う Gong、HubSpot、Slack、Google Workspace、Snowflake、サポート デスク、エンリッチメント ツール、AI ワークフロー ツールが含まれます。
次に、爆発範囲によってランク付けします。取引先、取引先責任者、リード、商談、ケース、カスタム オブジェクト、添付ファイルを読み取ることができるコネクタは、最上位層に属します。リフレッシュ トークンがあり、アクティブな所有者がいないコネクタは、最上位層に属します。パイロット用にインストールされ、維持されたコネクタは最上位層に属します。
範囲を確認します。多くの統合は、セットアップ時に簡単だったため、広くアクセスされています。そうなると黙秘責任が発生します。収益ツールがすべてのオブジェクトを永久に必要とすることはほとんどありません。レポート ツールが書き込みアクセスを必要とすることはほとんどありません。古い統合は削除する必要があります。
トークンとセッションを確認します。取り消しは本物である必要があります。管理コンソールのチェックボックスは、トークン、更新トークン、セッション、接続アプリの許可が無効になったことを示す証拠よりも弱いです。インシデントにベンダーが関与している場合は、ベンダーが何を取り消したのか、またローカルで何を取り消さなければならないのかを尋ねます。
正常に見える虐待がないかログを確認します。 Klue の場合、レポートには API クエリと自動化されたユーザー エージェントが記載されていました。チームは、異常なクエリ量、営業時間外の API バースト、新しいソース ネットワーク、オブジェクトの列挙、一括ページネーション、ベンダーの通常のフットプリントと一致しないインフラストラクチャからのアクセスを探す必要があります。
アラートを確認します。多くの検出プログラムは、従業員の不可能な出張については警告を発しますが、完全なオブジェクト カタログを取得する統合アカウントについては警告を発しません。そのギャップが重要なのです。統合アカウントには、動作ベースライン、データ量のしきい値、および変更アラートが必要です。
契約とインシデントの経路を確認します。ベンダーが環境用の OAuth トークンを保持している場合、契約とオンボーディング パスには、トークンの保存方法、トークンのローテーション方法、通知方法、取り消すまでの速度、保持するログ、および自社のインフラストラクチャが侵害された場合に何が起こるかを記載する必要があります。
購入者が見たいコントロールマップ
企業の購入者が、CRM セキュリティ コンソールからの完全な生のエクスポートを要求することはほとんどありません。彼らは成熟していることを証明する、よりシンプルな答えを求めます。最良の応答は 5 つの部分から構成されます。
インベントリへのアクセスが最優先されます。企業は、どの接続アプリが CRM データを読み書きできるかを示す必要があります。リストには、所有者、ベンダー、ビジネス目的、範囲、データ クラス、最終レビュー日、および削除パスを含める必要があります。
範囲の規律は二番目です。各アプリには、主要な権限ごとに理由がある必要があります。完全な API アクセス、オフライン アクセス、書き込みアクセス、エクスポート権限、カスタム オブジェクトへのアクセスなどの広範な範囲には、より強力な正当化が必要です。
モニタリングは 3 番目です。真剣な購入者は、API アクセスが監視されていることを知りたいと考えています。チームは、ボリューム、オブジェクトの組み合わせ、異常なクエリ パターン、ソースの変更、ユーザー エージェントの変更、ベンダーの通常の運用パターンから外れたアクセスを監視する必要があります。
取り消しの準備は 4 番目です。同社は、収益チーム全体を壊すことなく、サードパーティ統合を迅速に取り消すことができる必要があります。それには、指定された所有者、文書化されたフォールバック、およびテストされたプロセスが必要です。
証拠は5番目です。レビュー後、企業は記録を保管する必要があります。スクリーンショット、エクスポート、変更チケット、ログ クエリ、トークン失効記録、再テストメモは、営業や勤勉な会話を短縮するため重要です。
このコントロール マップは、曖昧なセキュリティの答えと購入者がすぐに使える答えの違いです。
収益担当者が尋ねるべき質問
CRM セキュリティは収益面でのリーダーシップを発揮します。データは販売活動に属するものであるため、収益責任者はリスクを理解する必要があります。
どの収益ツールがパイプラインと連絡先を読み取ることができるかを尋ねてください。どのツールが商談メモをエクスポートできるかを尋ねます。元パイロットが今でもアクセスできるかどうか尋ねてください。 AI アシスタントが機密性の高い取引コンテキストを確認できるかどうかを尋ねます。パートナー統合が添付ファイルを読み取ることができるかどうかを確認します。すべての統合に、現在もその会社で働いているオーナーがいるかどうかを尋ねます。
ベンダーが今日トークンの悪用を発表したらどうなるかを尋ねてください。誰がアプリを無効にするでしょうか?誰が顧客と話すでしょうか?誰がログをチェックするのでしょうか?どの取引が影響を受けたかを営業に誰が伝えるでしょうか?調達に関して明確な答えを出せるのは誰でしょうか?
こういった質問は不快なものです。それがポイントです。企業は、強要メッセージの実行中ではなく、リハーサル中にプレッシャーを感じる必要があります。
より安全な SaaS 承認パス
新しい SaaS ツールは、CRM アクセスを受け取る前に短いセキュリティ ゲートを通過する必要があります。
ゲートでは、ビジネス ニーズ、必要な正確なデータ、権限の範囲、トークンの有効期間、ベンダーのストレージ モデル、インシデント通知パス、顧客が利用できるログ、および社内の所有者を定義する必要があります。
ゲートは出口も定義する必要があります。すべての統合には削除日またはレビュー日が必要です。すべてのパイロットには自動クリーンアップが必要です。ベンダーを変更するたびに再検証が必要です。リスクの高い権限にはすべて、2 人目の承認者が必要です。
そのゲートがビジネスを遅らせる必要はありません。将来の混乱を防ぎ、ビジネスを迅速化するはずです。承認までにさらに 2 日かかる販売ツールは、購入者に 2 か月の懸念を抱かせる販売ツールよりも安価です。
AI に接続された収益ツールの場合、同じ道がさらに厳しくなります。このツールが通話記録、CRM メモ、サポート履歴、購入者の反対意見を読み取ることができれば、機密性の高いビジネス メモリを処理できます。初日から監視と削除のルールを設ける価値があります。
認定資格がカバーすべき内容
SaaS と CRM の統合輪郭については、StOFU セキュリティ認定によって正確な範囲を指定できます。その範囲には、Salesforce 接続アプリケーション、サービス アカウント、OAuth 付与、サードパーティ収益ツール、CRM データに触れる AI アシスタント、エクスポート パス、監視ルール、失効証拠が含まれる場合があります。
証明書は、世界中のすべてのベンダーが安全であると主張するべきではありません。何がレビューされたか、どのリスクが発見されたか、どの修正が検証されたか、結果がどのくらいの期間使用できるかを記載する必要があります。多くの SaaS コンターでは、材料の変更により早期レビューが開始される場合、有効期間を最大 12 か月にするのが実用的です。新しい高リスクベンダー、大規模な CRM 権限の変更、新しい AI ワークフロー、またはデータ モデルの変更の場合は、より早くコンターを再開する必要があります。
認定資格が役に立つのはこのためです。それは生きた答えを生み出します。同社は、収益データパスが見直され、古いアクセスが削除され、危険な範囲が削減され、トークンの悪用が監視されていることを顧客や投資家に示すことができます。
SToFU はこのクラスのリスクとどのように戦うか
SToFU は、SaaS 統合をセキュリティ輪郭の一部として扱います。レビューはアプリケーション コードやクラウド アカウントにとどまりません。これには、サードパーティ ツール、サービス アカウント、API クライアント、トークン、自動化、AI 支援ワークフローを介してビジネス データが移動するパスが含まれます。
このクラスのリスクについては、5 つの成果に焦点を当てます。
まず、接続されたアクセス マップを構築します。このマップには、どのツールがどのシステムにアクセスできるか、ツールが保持するスコープ、アクセスするデータ クラス、およびアクセスを正当化できる所有者が示されます。
次に、トークンとアイデンティティの状況を確認します。これには、OAuth スコープ、リフレッシュ トークンの動作、アプリの承認ルール、サービス アカウントの設計、人間以外の ID の所有権、条件付きアクセス、ベンダー ソース パターン、失効ワークフローが含まれます。
第三に、悪用経路をテストします。有用なレビューは、犯罪者がトークンを使って何をクエリできるのか、どのようなデータが恐喝に役立つのか、どのくらいの速さで取得できるのか、どのログにそれが表示されるのか、どのアラートが発生するのかを問うものです。
4 番目に、修復をサポートします。これには、スコープの縮小、古いアプリの削除、統合アカウントの分割、アラートの追加、承認の厳格化、トークン ローテーションの強制、より強力なベンダーの証拠の要求、CRM エクスポートの周りのガードレールの追加などが含まれます。
第五に、閉鎖を確認します。所見が修正されたら、再検査を行います。輪郭がバイヤー、投資家、パートナー、または調達のレビューに十分なほどきれいであれば、レビューされた範囲、修復証拠、レビュー日、有効期間を記載した StOFU セキュリティ証明書を発行できます。
購入者は明確なアーティファクトを必要とするため、証明書は重要です。彼らは、何がレビューされたか、どのリスクが解決されたか、そしてその回答がどのくらいの期間使用できるかを知る必要があります。
現実的な対応計画
あなたの会社が Salesforce、Gong、HubSpot、または同様の収益システムを使用している場合は、順番に行動してください。
まずは在庫。接続されているすべてのアプリとサービス アカウントを一覧表示します。所有者を割り当てます。所有者のいないものはすべて削除してください。
次にアクセスを減らします。スコープをワークフローに必要な最小限に絞ります。読み取りアクセスを書き込みアクセスから分離します。古いパイロット、非アクティブなベンダー、忘れられた自動化を削除します。
3番目を取り消してローテーションします。リスクの高い統合をローテーションします。古いリフレッシュ トークンを取り消します。ベンダー側とユーザー側の両方が変更されたことを確認します。
4番目のハント。 API ログを検索して、オブジェクト カタログの列挙、大量のクエリ、異常なページネーション、不審なユーザー エージェント、営業時間外のエクスポート、異常なソース ネットワーク、機密カスタム オブジェクトへのアクセスを調べます。
5番目に証拠を追加します。エクスポート、タイムスタンプ、スクリーンショット、ルールの変更、ログクエリ、および終了メモを保存します。この証拠は、顧客からの質問や保険の見直しの際に役立ちます。
6番目を認定します。クリーンな結果は、それを示すことができて初めてビジネス価値を持ちます。セキュリティ認定は、技術的なクロージャを意思決定の成果物に変えます。
購入者の質問
次の企業バイヤーは、より鋭い質問をするでしょう。彼らは、あなたの会社がビジネスデータへのサードパーティのアクセスをどのように制御しているかを尋ねます。彼らは、古い統合がどのくらいの速さで削除されるかを尋ねます。サービス アカウントが監視されているかどうかを尋ねられます。彼らは、誰にも気付かれずに CRM を大規模にクエリできるかどうかを尋ねます。
それらの質問は公平です。
それに答えられる企業がスピードを勝ち取ります。それに答えられない会社は支払いが遅れます。
Klue と Salesforce の事件はその兆候です。トークンは攻撃対象領域の一部になりました。 SaaS 統合は境界の一部になりました。セキュリティレビューでは、収益データを運ぶビジネスシステムが制御、監視されており、精査の準備ができていることを証明する必要があります。
SToFU は、企業がその証明を現実のものにするのに役立ちます。
情報源
- The Hacker News: Salesforce Disables Klue App Integration After OAuth Token Abuse Exposes Customer Data
- Klue: An Update on Recent Klue Security Incident
- Huntress: Klue Breach Investigation
- Datadog Security Labs: Detecting the Klue supply chain attack in Salesforce instances
- ReliaQuest: Integration Abused in CRM Data Theft
