Workdayでは、信頼と透明性をすべての活動の中心に据えています。その一環として、お客様の組織を保護できるよう、以下の情報を共有いたします。

2025年8月23日、Workdayは、Salesforceと連携するサードパーティアプリ「Salesloft Drift」におけるセキュリティに問題があることを確認しました。問題を確認後、当社はただちにこのアプリを切断し、Driftのトークンを無効化し、関連するインテグレーションの削除を開始しました。同時に、フォレンジック調査会社の協力のもと調査を開始し、Driftを使用しているWorkdayのベンダーの評価も進めました。

2025年8月26日、Salesloftは自社のWebサイトで当インシデントに関する追加情報を提供し、攻撃者がSalesloftのシステムに侵入してOAuth認証情報を取得し、それを使用して、Salesloftの顧客のSalesforce環境内で検索を行っていたことを確認しました。Workdayの調査により、当社も影響を受けたことが判明しました。

万全を期すため、お客様全員に対して、Workdayとのサポートケースを通じて共有された可能性のあるすべての認証情報を更新していただくことを強く推奨します。

判明したこと:

Workdayは、Driftとの接続を通じて、攻撃者がWorkdayの顧客テナントにアクセスした形跡は一切ないことを確認しています。

攻撃者が検索でアクセス可能な情報は、Salesforce環境にあるビジネス連絡先情報、基本的なサポートケース情報、テナント名、データセンター名、製品名やサービス名などのテナントに関する基本情報、トレーニングコースや修了証明、イベントログなど、Salesforce環境のごく一部の情報のみでした。

攻撃者は、Salesforce内のファイル(契約書、オーダーフォーム、添付ファイルなど)にはアクセスしていません。この点については、Workdayが依頼した第三者のフォレンジック調査会社によって確認されています。

Salesforce環境上で管理されているサポートケースには、お客様がWorkdayに提出したサポートチケットの本文が含まれている場合があります。当社では、このようなケースに機密情報(ログイン認証情報など)を含めないようお客様に推奨しており、攻撃者のアクセス範囲はごく一部に限られていましたが、Workdayはすべてのケースを対象に、認証情報等の有無を先んじて調査しています。

もし機密情報が見つかった場合、対象のお客様には当社から直接通知いたします。

なお、お客様がご自身の環境で独自にDriftを利用している場合は、その使用方法に基づいて、お客様への影響を個別にご確認いただく必要があります。

お客様に行っていただきたい対応:

以下のベストプラクティスに従い、引き続きテナントの安全を確保してください:

·       定期的に認証情報を変更してください。特にセキュリティインシデントの際は、すぐに認証情報を変更してください。

·       認証情報や機密情報をサポートケースに共有しないでください。

·       パスワード入力後に追加認証を行う多要素認証を必ず導入してください。手順については、こちらをご覧ください。

·       初回ログイン時にシングルサインオン(SSO)を使用した多要素認証が適用されない場合は、機密性の高い操作実行時の追加認証を必ず導入してください。手順については、こちらをご覧ください。

·       フィッシングメールを見抜くためのトレーニングをユーザーに対して行ってください。トレーニングでは、第三者がパスワードをメールで要求することは基本的にないということを強調してください。

·       理解度とコンプライアンスを確認するため、定期的にフィッシングテストを実施してください。

·       ユーザーアクティビティの監視および、機密情報に関する変更があった際の通知を有効にしてください。手順については、こちらをご覧ください。

Salesloftも、公式ブログで詳細情報とセキュリティ推奨事項を公開していますので、あわせてご確認ください。

私たちは、お客様の信頼を第一に考えております。このたびのご不便に対し、心よりお詫び申し上げます。Workdayは、今回のインシデントについて透明性を持って対応するとともに、お客様がご自身の組織を保護するための明確な指針を提供することに全力を尽くします。

投稿:  セキュリティおよび信頼性

さらに読む