「Gmailの情報流出」は誤報だったけど……、本当に怖いのはその裏側：846th Lap

2025年8月、「Gmail」を巡る驚きのニュースが駆け巡り、SNSやメディアは一斉に反応した。その後に、それが誤報であったことが分かった。だが実際には、その陰で別の問題が潜んでいた。

[キーマンズネット]

　2025年8月末、「Gmail」の情報漏えい疑惑に関するニュースが広まり、大きな話題となったのは周知の通りだ。多くのメディアが「Gmailのアカウント情報が大量に漏えいし、パスワードの変更が必要だ」と警告し、「Forbes」などの大手メディアも取り上げたことで、世間は半ばパニック状態に陥った。しかしその後、Googleが「これは誤報である」と正式に発表した。これにより、多くのGmailユーザーは胸をなで下ろした。

　実際には、一部の「Google Workspace」ユーザーにおいて、メールアカウント情報が漏えいするリスクがあったに過ぎなかった。だが、この一件の発端は、別のところにあった。

　冒頭で触れたように、Gmailのユーザー情報が大量に漏えいしたという報道は誤報だったことが分かった。大手メディアが報じたことで「25億人に影響か？」と騒がれたものの、実際にはそこまで深刻な事態ではなかったようだ。ただし、実際にサイバー攻撃が発生したことは事実であり、その内容が世間をざわつかせている。

　この件について、テック系メディア「Ars TECHNICA」は2025年8月29日付で詳細な記事を掲載した。記事によれば、Googleは、AIチャットエージェント「Salesloft Drift」を起点としたデータ窃取が拡大していると警告しているという。

　Salesloft Driftは、Webサイトで潜在顧客と自動応答で会話し、営業活動を効率化するためのAIチャットツールだ。Salesforceをはじめ、「Slack」やGoogle Workspaceなど、さまざまなサービスと連携できるのが特徴だ。

　Googleの脅威インテリジェンスグループ（Google Threat Intelligence Group：GTIG）は、2025年8月28日、Salesloft Driftを経由して多くの企業が利用するSalesforceインスタンスから、アカウント情報や連絡先、商談・ケースデータなど、広範かつ機密性の高い情報が不正に窃取されていたことを発表した。

　攻撃が実行されたのは2025年8月8日〜18日にかけてだ。Salesloft Driftに保存され、他のサービスと連携する際に利用されるOAuthトークンが攻撃の足掛かりとなったという。犯行グループは、GTIGが追跡しているサイバー犯罪組織「UNC6395」だとされている。

　攻撃者はSalesforceに保存されていた機密情報に不正アクセスし、さらに「Amazon Web Services」（AWS）や「Snowflake」などのクラウドサービスにアクセスするための認証情報を狙っていた可能性がある。GTIGの発表を受け、Salesforceは主要クラウドサービスやSlack、Pardotとの連携を一時的に無効化した。

　情報侵害はSalesforceにとどまらず、Salesloft Driftと連携する複数のサービスにも広がっているとGTIGは指摘する。全てのSalesloft Driftユーザーに対し、同プラットフォームに保存されている認証トークンを「侵害された可能性があるもの」として扱い、全てのアプリの認証情報をリセットするよう強く勧告している。

　今回の事件は、サービス間の連携を狙った典型的な「サプライチェーン攻撃」であり、著名なプラットフォームが関与していることから、被害を受けた企業も多岐にわたる。Google Workspaceのアカウント情報漏えい疑惑も、このSalesloft Driftとの連携が一因である可能性が指摘されている。

　実際、Google Workspaceの被害はごく限定的だったものの、Googleの他、CloudflareやZscaler、Palo Alto Networks、PagerDutyなど、多数の企業や組織が影響を受けた。この一件は、サプライチェーン攻撃の複雑さと厄介さを如実に示す事例だと言える。

　とはいえ、多くの企業にとってサービス間の連携は業務効率化の要でもあり、完全に排除するのは現実的ではない。だからこそ、日頃から接続状況やトークンの利用状況を常に監視し、不審な挙動をいち早く察知できる体制づくりが、今後ますます求められていくだろう。

　なお、この件の詳細と対策については「Gmail事件の真相　漏えいはなかったのか？」で解説している。今後の対応に役立てていただけると幸いだ。

上司X：　「Gmailのユーザー情報がダダ漏れかも」という報道があったけど、実はそうではなくて、Salesloft DriftのOAuthトークン悪用が問題だった、という話だよ。

ブラックピット：　いわゆる、「サプライチェーン攻撃」というヤツですね。

上司X：　どこかで聴いたフレーズだが（笑）、まあ、その通りだ。

ブラックピット：　ですよね。

上司X：　企業はいろいろなクラウドサービスを使い分けながらビジネスを回しているからな。どこかで問題があったら一気に影響が及ぶ。

ブラックピット：　しかし、結局のところ、GoogleのGmailについては25億ユーザーのアカウント情報が漏えいしちゃった、っていうのはガセ情報だったようですが。

上司X：　今回の攻撃でGoogleのサービス自体に被害が及ばなかったというのは不幸中の幸いじゃないかな。

ブラックピット：　まあ、Salesloft Driftが元凶とのことですからね、攻撃範囲はある程度限定されるでしょう。でも、サプライチェーン攻撃ってうっとうしいですねえ。まさに「踏み台攻撃」といったところでしょうか。

上司X：　そうだな。サプライチェーン攻撃については、自社の環境がいくら堅牢（けんろう）でも接続先が突破されれば無防備になるという。だからこそ、自社のサービスがどことつながっているか、権限やトークンはどうなっているかなどを日常的にチェックする必要がある。このご時世だし、仕方のないところだよな。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。