Salesforceによるセキュリティ勧告に関して、12/5までの情報をまとめております。
最新の情報は以下よりご確認ください。
本記事の日時は米国時間で表記しています。
◆ 2025年12月5日アップデート
Q: Mandiant のレポートは全顧客向けに提供されますか? それとも個別に依頼する必要がありますか?
A: Mandiant のレポートについては、エグゼクティブサマリー(要約版)を、ご希望のお客様に提供いたします。
なお、このレポートは Gainsight 契約に基づく機密保持条項に従って提供されるものであり、Gainsight の書面での承諾なく、お客様組織外へ配布することはできません。
Q: RCA(Root Cause Analysis / 根本原因分析)には何が含まれますか?
A: RCA には、検証済みの調査結果が含まれます。
現在の証拠では、Gainsight に保存されている顧客データへのアクセスは確認されていません。
Mandiant と CrowdStrike は、Gainsight の各製品ラインを対象にその点を確認済みです。
Q: フォレンジックレポート(Mandiant報告書)は自動的に提供されますか? それとも依頼が必要ですか?
A: ご希望のお客様には、Mandiantレポートのエグゼクティブサマリーを提供いたします。
こちらも、Gainsight 契約における 機密保持条項に従ってのみ提供され、Gainsight の書面による承諾なしに外部共有することはできません。
Q: Gong や Zendesk など、Salesforce 以外のコネクタの再有効化はいつになりますか?
A: これらのコネクタは、Salesforce コネクタが復旧した後に順次再有効化される見込みです。
Gainsight は各ベンダーと連携していますが、最終的な再開時期はそれぞれのベンダーによる独立したセキュリティレビューに依存します。
Q: “復旧は数日単位”という見立てに対する確度はどれくらいですか?
A: Gainsight としては、復旧は数日の目処になると考えています。
しかし、最終判断と復旧タイミングは Salesforce によって決定されるため、Gainsight から正確な時期を確約することはできません。
重要事項(IMPORTANT NOTE)
◆2025年12月3日アップデート
今後の対応予定(対応済み):12月4日に実施される S3 キーのローテーション確認および未更新キーの接続停止について
Salesforce のセキュリティアドバイザリに関連する、今後のリメディエーション(是正)作業について事前にご案内します。
12月4日(木)午前 6:00 ~ 午前 9:00(太平洋時間) → 23:00 〜 26:00(日本時間)の間に、
2025年1月以降に S3 アクセスキーをローテーション(リセット)していないお客様を対象に、S3 接続を一時的に無効化いたします。
この対応は、調査を支援している外部サイバーセキュリティ企業の指示に基づき、
すべてのお客様環境が最新のセキュリティベストプラクティスを満たすための標準的なプロセスの一部として実施されます。
この対応により一部のお客様に影響が及ぶ可能性があることは理解しております。
しかし、古いキーをまだローテーションされていない場合でも、Gainsight 側でこの処理を優先することで、お客様環境を安全でクリーンな状態に保つことが目的です。
これは、Salesforce上での Gainsight アプリ復旧に向けた重要なステップでもあります。
キーのローテーションが未実施でS3 接続が無効化されたお客様は、新しくキーをローテーションし、再接続(reconnect)する必要があります。
リセットの手順はこちらのヘルプページおよび簡単な動画をご参照ください。
サポートが必要な場合や、伴走支援をご希望の場合は、
サポートチケットを作成してください。弊社チームがすぐに対応いたします。
リメディエーション工程の継続にあたり、ご協力に心より感謝申し上げます。
Q: 自社を守るために、どのような対策を取ればよいですか?
A: 以下は、お客様の環境をより安全に保つために推奨される 予防的な措置 です。
これらの対応は、セキュリティインシデント調査における一般的なベストプラクティスに沿っています。
推奨される予防措置
-
Gainsightとの接続に使用している S3バケットアクセスキー、BigQuery、Zuora、Snowflakeなどの各種コネクタのキーをローテーションしてください。
-
Salesforce Connected App の機能が完全に復旧するまで、Salesforce経由ではなく、直接 Gainsight NXT にログインしてください。
-
これに伴い、SSOを利用していないNXTユーザーについてはパスワードをリセットしてください。
-
ユーザー資格情報またはトークンに依存しているすべての連携アプリケーションやインテグレーションを再認証(re-auth)してください。
これらのステップはいずれも予防的なものであり、調査が継続している間もお客様の環境を安全に維持することを目的としています。
また、外部のサイバーセキュリティ専門家(第三者機関)による独立したレビューにより、新たな推奨事項が確認された場合は、追加のガイダンスを提供いたします。
投稿の末尾に添付されているPDFでは、キーのローテーション方法や、各種コネクタを再認証する手順 をご確認いただけます。11月27日に追加された最新のV2をご参照ください。
事業継続(Business Continuity)に関するサポートについて
GainsightのProfessional Services からの推奨に基づき、事業継続への即時対応が必要な場合は、Gainsightサポートにチケットをご提出ください。
迅速に対応するため、以下の情報をチケットにご記載ください:
サポート依頼時に必要な情報
-
重要なワークフローの一覧
-
どのGainsight製品に関わるものかも明記してください。
-
-
データ連携方法の可否
-
以下のいずれが可能かお知らせください:
-
データレイクへのデータ投入
-
CSV の Amazon S3 へのアップロード
-
Gainsight API へのデータ送信
-
-
-
新しい連携手段で Gainsight へデータを送るための技術リソースの有無
-
エンジニアリング/データチームによるサポートが可能かどうか
-
-
本件に関する貴社側の主要な連絡担当者(キーパーソン)の情報
-
連絡担当者のタイムゾーン
-
対応スピードを高めるため、勤務されているタイムゾーンを記載してください。
-
◆ 2025年12月1日アップデート
Q: 既知のIOC(Indicator of Compromise、攻撃の形跡)は何ですか?
A: 当社が特定した内容と、Salesforceがこちらで公開している内容を含む、以下のIOCおよびユーザーエージェントのリストをご参照ください。
FAQに掲載されている侵害の兆候(IOC)のリストを更新しました。継続的な調査を通じて得られた追加情報に基づき、前回の更新以降、リストは拡大しています。
現時点では、インシデントに関する当社の評価に変更はなく、Gainsightのシステム内で脅威活動の証拠は確認されていません。状況が変化した場合は改めて通知いたします。更新されたIOCを公開するのは、お客様が独自の分析を継続される場合に可能な限り完全な情報を提供するためです。
CISOの観点から重要なのは、複数組織による調査ではIOCセットが自然に進化する点です。追加ログ・テレメトリ・環境横断相関が判明するにつれ、リストは拡大します。これは新たな脅威活動が発見されたためではなく、セキュリティチームが関連可能性のある全指標を単一のリストとして集約するためです。これは標準的なインシデント対応手順であり、新たな侵害の証拠と解釈されるものではありません。
IOCリスト
ユーザーエージェント:
1. python-requests/2.32.3
2. Go-http-client/1.1
3. Salesforce-Multi-Org-Fetcher/1.0
4. python-requests/2.28.1
5. AppleWebKit/537.36 (KHTML, like Gecko)
6. Mozilla/5.0 (X11; Linux x86_64)
7. HeadlessChrome/138.0.7204.0
8. Safari/537.36
IOC IP アドレス:
| 3.239.45.43 | 45.66.35.35 | 104.3.11.1 | 198.54.135.205 | 185.220.101.165 | 135.134.96.76 | 185.220.101.185 | 46.165.243.36 |
| 185.220.100.244 | 45.67.138.124 | 146.70.174.69 | 107.189.31.33 | 203.55.81.2 | 146.70.171.216 | 185.220.101.31 | 87.118.122.30 |
| 192.42.116.219 | 65.195.105.153 | 169.150.203.245 | 107.189.6.124 | 80.94.92.92 | 185.207.107.216 | 185.220.101.59 | |
| 195.47.238.90 | 65.195.105.81 | 172.113.237.48 | 172.105.20.12 | 109.70.100.1 | 185.220.100.245 | 185.241.208.185 | |
| 195.47.238.92 | 65.195.111.21 | 198.54.135.148 | 185.132.53.150 | 109.70.100.68 | 185.220.100.255 | 192.76.153.253 | |
| 45.149.173.227 | 82.163.174.83 | 198.54.135.197 | 185.220.101.109 | 109.70.100.71 | 185.220.101.130 | 193.189.100.195 |
Q: GS Assistプラグインが動作せず困っています。どうすればよいですか?
A: Gainsight Assist Chromeプラグインの再有効化に関する以下の手順に従ってください。
注:この操作はユーザーレベルで実行する必要があり、管理者レベルのタスクではありません。
- Gainsight Assistが既にインストールされているか確認する - Chromeブラウザを開き、Gmailにアクセスします。右側のChrome拡張機能セクションにGainsight Assistが表示されている場合は、ログインしてプラグインの使用を開始できます。
- Gainsight Assistのインストールまたは再インストール - 拡張機能にGainsight Assistが表示されない場合、Chromeウェブストアを開き「Gainsight Assist」を検索して拡張機能を再インストールしてください(必要に応じて削除後再追加)。
インストール後、拡張機能右上にプラグインの正常なインストールを示す確認メッセージが表示されます。
- プラグインへのログイン - プラグインインストール後、Gainsightの認証情報を使用してログインしてください。ログイン後は、Gmailから直接アクティビティをGainsightインスタンスに記録できます。
- プラグインバージョンの確認 - Gainsight Assistの最新バージョンは8.3.2です。インストール済みバージョンはChrome拡張機能ページで確認できます。
Q: GainsightとGoogleカレンダーの連携が機能しません。どうすればよいですか?
A: GainsightとGoogleカレンダーの連携を再有効化する手順に従ってください。
注:この操作はユーザーレベルで実行する必要があります。管理者レベルでのタスクではありません。
- 設定にアクセス - Gainsightにログインし、右上のプロフィールアイコンをクリックして「設定」を選択します。
- カレンダー設定を開く - 設定ページで「カレンダー設定」サブタブに移動します。
- 認証を再試行 - Googleカレンダーセクションで「認証を再試行」をクリックします。
- アカウントを認証 - Googleアカウントを選択し、必要な権限を付与します。これにより接続が再認証され、カレンダーイベントがGainsightに同期されます。
◆ 2025年11月27日アップデート
Q: Google SSO を使った Gainsight ログインが失敗します。どうすればよいですか?
A: 現在、Google SSO(G Suite)によるログインが失敗する事象が発生しています。
Google が 予防的措置として、gainsightcloud.com のようなコールバックURLを使用する OAuth クライアントを一時的に無効化しています。結果としてGoogleアカウントを利用したログインができない状況です。
引き続き Gainsight にアクセスできるよう、代替手段として SAML 認証の利用を推奨いたします。
Gainsight は Google、Azure、OneLogin を含むあらゆる IdP(Identity Provider)との SAML 設定に対応しており、弊社チームが設定をサポートします。
以下の手順に沿って進めてください。
【手順 1】IdP(Identity Provider)の設定
Google、Azure、OneLogin それぞれの SAML 設定方法は、投稿下部に添付されているPDFをご参照ください。
【手順 2】IdP でカスタムアプリを作成後、Gainsight サポートチケットを作成
チケットには以下の情報をご記載ください:
-
SAML 設定支援が必要である旨を明記してください。
-
ミーティング候補日時を以下の中から 2〜3つご提示ください:
-
12月1日(月)
-
12月2日(火)
-
12月3日(水)
※タイムゾーンも忘れずにご記載ください。
-
-
ミーティング時間帯に、
-
お客様のIT管理者
-
Gainsight管理者
の両者が参加可能であることをご確認いただき、チケットにCCしてください。
-
【手順 3】Gainsight側でミーティングを設定
サポート担当者が、提示いただいた候補のいずれかの時間帯で Zoom ミーティング招待を送付いたします。
(※リクエストが集中しているため、追加の候補時間をご相談させていただく場合があります。)
【手順 4】設定ミーティングに参加
ミーティング当日、サポート担当者が SAML 認証設定をステップごとにご案内します。
◆ 2025年11月26日アップデート
Q: Google SSO の問題は、このサイバーセキュリティインシデントと関連していますか?
A: はい。Googleは予防的措置として、gainsightcloud.com をコールバックURIとして使用する OAuth クライアントを一時的に無効化しています。
現在 Google は Gainsight に以下の対応を求めています:
-
OAuth トークンの取り消し(revoke)
-
すべての OAuth クライアントシークレットのローテーション
-
OAuth クライアントを再有効化するための CASA Tier 3 アセスメントの完了
詳細は Google が公開している案内(HERE)をご参照ください。
Q: Gong 連携を使用しており、4時間以内のデータしか同期されません。今回の停止期間中に発生したイベントは復元されますか?
A: Gainsight は復旧後のリメディエーション(是正措置)を検討しており、
過去データを補完する同期(catch-up sync)ワークフローを含むオプションを評価中です。
コネクタが再有効化され次第、追加のガイダンスを共有します。
復旧後に必要となる手作業については、可能な限り最小化できるよう調整を進めています。
Q: 最大エラーに達して停止したジョブやルールは、コネクタ復旧後に自動的に再開されますか?
A: はい。繰り返しのエラーにより停止したジョブは、連携が安全に復旧した段階で Gainsight により再開されます。
また、管理者が必要に応じて手動でルールを再実行・リセットすることも可能です。
Gainsight は、復旧後にお客様が確認すべき内容を明確にするため、
再開手順やチェックリストを提供し、手動での再起動が必要な資産を特定できるよう支援します。
Q: 復旧後、コネクタやルールをゼロから作り直す必要はありますか?
A: いいえ。必要ありません。
Gainsight は 構造化された復旧プロセス を準備しており、
ルール、レポート、コネクタは現状のまま再有効化されます。
復旧にあたっては、再認証(re-authorize)および動作確認のステップをまとめたチェックリストを提供します。
Q: Salesforce Tasks を利用しているルールのフィルター条件や設定は、復旧後もそのまま保持されますか?
A: はい。フィルター条件と設定内容は維持されます。
SFDC との接続が復旧すれば、これらの資産やルールは 手動の再設定を行わず に通常どおり機能を再開する見込みです。
Q: PX は影響を受けていますか?
A: PX が影響を受けるのは、Connected App を介して Salesforce と同期するよう設定されている場合のみです。
Salesforce に依存しない PX のネイティブ機能はすべて通常どおり稼働しています。
Q: Zendesk、Gong、HubSpot の連携は、それぞれのベンダーの判断で再開されますか?
A: はい。これらのベンダーは独自の判断で接続を停止しています。
Gainsight は各社と連携していますが、再有効化のタイミングは各ベンダーのセキュリティレビューに基づいて決定されます。
Q: Gainsight 管理の S3 バケットは引き続き利用できますか?
A: はい、引き続きご利用いただけます。
ただし、セキュリティ強化の観点から、以下のベストプラクティスを推奨します:
-
アクセスキーのローテーション
-
(可能な場合)Gainsight IP のホワイトリスト化
-
Gainsight 側での アクセススコープ最小化の設定
◆ 2025年11月24日アップデート
Q: 自社の調査において、Gainsightからログを取得すべきでしょうか?
A: Gainsight側で保持しているログの性質上、多くのお客様にとっては、組織としてのリスク評価において決定的な情報とはなりにくいケースが多い状況です。ただし、可能な限りのログ情報を、準備出来次第ご提供できるよう最善を尽くします。
一方で、今回Salesforceから報告されている不審なアクティビティを分析するうえでは、Gainsightのログだけでは十分な材料とはならないと考えています。
この段階では、主に以下の情報を含む Salesforce側のログに調査の重点を置くことを強くお勧めします。
-
Gainsight Connected App より起因した認証試行(Authentication Attempts)およびAPIコール
これらの Salesforce側のログが、不審なアクセスパターンを特定するための最も信頼できる情報源(authoritative source) となります。
Q: Staircase を、他システムとの連携から切り離す(接続を外す)べきでしょうか?
A: 以下の点をご確認ください。
-
Staircaseは、現在進行中の「Gainsightに関連するSalesforceのセキュリティアドバイザリ」の影響を直接は受けていません。しかしながら、Salesforce側で接続が取り消されていることに伴い、Salesforceへの読み書きが一時的にできないという状態になっています(これは予防的措置によるものです)。
-
本回答作成時点では、Gong.io と Staircase の接続も切断されています。
-
SalesforceがStaircaseとの接続を切断したのは、Gainsight Connected Appに関する広範な調査に連動した予防的な対応であり、Staircase固有の問題が確認されたためではありません。
-
Staircaseは、その他のGainsight製品とは完全に分離されたインフラ上で稼働しており、システムやデータの経路を共有していません。
そのため、現時点では「Staircaseそのものが侵害されている」という兆候はなく、Salesforceとの接続制限に伴う影響にとどまっています。
◆ 2025年11月23日アップデート
Q: IOC(Indicator of Compromise、攻撃の形跡)としてはどのようなものがありますか。
A: こちら が、Salesforce社により公開されたIOCやユーザーエージェントです。以下もご参照ください。
ユーザーエージェント:
- python-requests/2.32.3
- Go-http-client/1.1
- Salesforce-Multi-Org-Fetcher/1.0
- python-requests/2.28.1
IOC IP アドレス:
| 104.3.11.1 | 185.220.100.255 | 3.239.45.43 |
| 109.70.100.1 | 185.220.101.130 | 45.67.138.124 |
| 109.70.100.68 | 185.220.101.185 | 45.149.173.227 |
| 109.70.100.71 | 185.220.101.31 | 45.66.35.35 |
| 135.134.96.76 | 185.220.101.59 | 46.165.243.36 |
| 146.70.171.216 | 185.241.208.185 | 65.195.105.153 |
| 146.70.174.69 | 192.76.153.253 | 65.195.105.81 |
| 169.150.203.245 | 193.189.100.195 | 65.195.111.21 |
| 172.113.237.48 | 198.54.135.148 | 82.163.174.83 |
| 185.207.107.216 | 198.54.135.197 | 87.118.122.30 |
| 185.220.100.245 | 198.54.135.205 |
|
Q: Salesforce内にインストールした管理パッケージにおいて、IP制限を実装する際の推奨アプローチは何ですか?
A: Gainsightの管理パッケージでは、プロファイルでIP制限を設定することを推奨しています。
これは、Connected App側でIP制限の緩和(IP Relaxation)が設定されていたとしても、プロファイルレベルのIP制限は必ず適用されるためです。
◆ 2025年11月22日アップデート
Q: このセキュリティインシデントで影響を受けているお客様は何社ですか?
A: Salesforceから当初は3社が影響を受けているとの報告がありましたが、11月21日時点でそのリストが拡大されました。
拡大後の影響対象のお客様には、Salesforceから11月21日に通知が行われています。
Gainsightとしても、Salesforceから提供されたリストに基づき、これらのお客様に個別にご連絡を差し上げています。
Q: Salesforceがアクセスを制限する予防措置を行ったことで、どのGainsight製品が影響を受けていますか?
A: 現時点では、以下の製品が影響を受けています。
- Gainsight CS
- Community(CC)
- Northpass(CE)
- Skilljar(SJ)
- Staircase(ST)
これらの製品自体は稼働していますが、Salesforceへの読み書き(データの読み込み・更新)が一時的に行えない状態となっています。
Q: 今日時点で、他に動作しなくなっているGainsight CSのコネクタはありますか?
A: 現時点では、予防的措置として、以下のコネクタがベンダー側判断により無効化されています(Salesforce以外):
- Gong.io
- Zendesk
- HubSpot
Q: 影響を受けたGainsightのお客様は、Gainsightからどのようにログを取得できますか?
A: Gainsightサポートにサポートチケットを起票してください。
ログはお客様のS3バケット経由でお渡しするため、2025年11月20日以降まだS3キーをローテーションされていない場合は、事前にキーのローテーションをお願いいたします。
この手順が完了していることが、Gainsight側からログを安全に送付する前提条件となります。
Q: セキュリティの観点から、他にお客様に推奨することはありますか?
A: Mandiantからは、お客様が社内調査を行う際の参考として、Google公式ブログ記事が推奨されています。
Q: Gainsightが行った対応を含めて、これまでの経緯を教えてください。
(日時は米国時間)
2025年11月19日(水) 午後
- Salesforceより、Gainsight Salesforce Connected Appに関連する異常なアクティビティについて通知
- 少数のSalesforce組織(3組織)で、不審なアクセス試行が確認されたと報告
- Gainsightはすぐに社内のインシデント対応プロセスを起動
- Salesforce連携機能の障害に関する、最初のお客様向けアップデートを公開
2025年11月19日(水) 夜
- セキュリティ・エンジニアリング・プロダクトチームが初期分析を開始
- インシデント対応チームを正式に招集
- GainsightはMandiantを招へいし、第三者による独立したフォレンジック調査を開始
- Mandiantが証拠保全およびログ収集を開始
- この時点では、SalesforceからIOC(侵害指標)はまだ提供されていない
2025年11月20日(木) 午前
- エンジニアリングチームが、影響範囲の技術的な確認を開始
- Salesforceに依存していないルール、データデザイナージョブ、レポートの復旧を実施
- お客様からの質問にお答えするため、第1回目のOffice Hoursセッションを開催(日本では日本時間11月21日(金)午後12:30に開催)
2025年11月20日(木) 午後
- エンジニアリングチームによる詳細なログレビューと初期スコーピング(影響範囲の絞り込み)が完了
- Salesforceから、異常なアクティビティは一部の組織に限定されていることが確認されたと報告
- Gainsightは、予防的な対策の推奨内容の準備を開始
2025年11月21日(金) 午前
- Salesforceデータに依存しないJourney Orchestratorプログラムを再有効化
- 第2回目のOffice Hoursセッションを開催
- Salesforceと連携しつつ、IOCの提供を継続的に依頼
2025年11月21日(木) 午後
- Salesforceより、影響を受けたSalesforce組織の拡大リストが提供される
- Gainsightは、そのリストに含まれるお客様に対して、直接通知を送付
- Mandiantは、ログ、トークンの挙動、コネクタのアクティビティについて、詳細なフォレンジックレビューを継続
- Gainsightはステータスページ(status.gainsight.com)で、継続的に最新情報を提供
継続対応中(Ongoing)
- Mandiantによる詳細フォレンジックレビューの継続
- Gainsightによるステータスページでの継続的なアップデート
- 新たな検知や検証済みの情報が得られ次第、追加のガイダンスをお客様に提供
◆ 2025年11月21日アップデート
Q: このセキュリティインシデントで影響を受けているお客様は何社ですか?
A: Salesforceから当初は3社のリストが提供されましたが、11月21日時点でそのリストが拡大されました。
拡大リストに含まれる影響対象のお客様には、本日(11月21日)Salesforceより通知が行われています。
Gainsightも、Salesforceから共有されたリストに基づき、これらのお客様に直接ご連絡しています。
Q: (Salesforce経由ではなく)Gainsight CSへの直接ログインするにはどのように設定すればよいですか?
A: 管理者による直接ログインの設定方法については、公式ドキュメントをご参照ください。
CSMがどのようにアクセス権を取得できるかについても、こちらでご案内しています。
ご不明点がある場合は、Gainsightサポートまでお問い合わせください。
Q: Salesforceによるアクセス制限の予防措置により、どのGainsight製品が影響を受けていますか?
A: 現時点では、以下の製品が影響を受けています。
- Gainsight CS
- Community(CC)
- Northpass(CE)
- Skilljar(SJ)
これらの製品自体は引き続き稼働していますが、Salesforceに対する読み込み・書き込みが一時的に利用できない状態です。
Q: Gainsightは安全ですか?
A: Gainsightはサイバーセキュリティの専門家であるMandiantを招き、徹底した第三者レビューを実施しています。
新たな知見が得られた場合は、迅速かつ透明性を持ってお知らせします。
同時に、予防的な措置として以下のような環境強化もすでに実施しています。
- VPNおよび重要システムへのアクセスに使用する多要素認証情報のローテーション
- 環境の堅牢化に向けた追加セキュリティ対策の実施
これらは、調査が継続する中でもシステムの安全性を高めるための措置です。
お客様が安心してGainsightをご利用いただけることを最優先とし、調査の進行に合わせて検証済み情報を共有してまいります。
Q: 自社としてはどのような対策を取るべきでしょうか?
A: セキュリティ調査時のベストプラクティスに沿った、予防的な対応として以下を推奨します。
- Gainsightとの接続に使用しているS3バケットのアクセスキーをローテーションする
- Salesforce経由ではなく、Gainsight NXTへの直接ログインを利用する
- その際、SSO認証を利用していないNXTユーザーについてはパスワードをリセットする
- ユーザー資格情報やトークンに依存した連携アプリやインテグレーションについては、再認証を行う
これらは予防的な措置であり、調査が継続している間もお客様環境の安全性をより高めることを目的としています。
Mandiantの独立したレビューにより新たな推奨事項が確認された場合は、追加のガイダンスをお届けします。
Q: IOC(侵害指標)は共有されますか?
A: SalesforceがIOCを公開しており、その内容はSalesforceのサイトでご確認いただけます。
Q: GainsightコネクタからのSalesforceログインイベントがどのIPレンジ/サブネットから発生すべきかを教えてもらえますか? Gainsight関連IPからのトラフィックは正規と見なせますか?
A: はい、提供可能です。ただし、現在はサポートチケット経由でのみご提供しています。
お客様はサポートチケットを起票してこの情報をご請求いただけます。
なお、提供するのは「GainsightのホワイトリストIP(正規の送信元)」であり、「不正IP」ではありません。
SalesforceによるIOCに関する投稿については、Salesforceのサイトをご確認ください。
Q: GainsightとSalesforce間のアクセスはいつ復旧しますか?
A: 現時点では、復旧の具体的な時期は未定です。
新しい情報が得られ次第、ステータスページにリアルタイムで更新します。
Q: 今回の件の後、Salesforceインスタンス上のGainsightアプリや関連コネクタを再インストールする必要はありますか?
A: インシデントが解決した後、接続の再認証(re-authorize)が必要になります。
追加の手順が必要となる場合には、併せてお知らせします。
Q: Salesforce経由でGainsightにログインできなくなりました。これはSalesforce側の変更によるものですか?
A: はい。この変更は、調査が継続している間の予防措置としてSalesforce側によって行われたものです。
Q: 接続が再開された後、Salesforce依存のルール、プログラム、レポートなどは再構築が必要ですか?
A: 接続が再開された後は、再認証(re-authorize)が必要になります。
その際に必要な具体的な次のステップについては、復旧時に改めてご案内します。
Q: セキュリティに関する問い合わせについて、Gainsight側の適切な窓口はどこですか?
A: セキュリティチームに直接ご相談いただけるメールアドレスは security@gainsight.com です。
Q: SSOを利用していないユーザーのパスワードをリセットしたい場合、誰に連絡すればよいですか?
A: Gainsightサポートチームにサポートチケットを提出してください。担当チームがリセット対応をサポートします。
Q: 自社で内部監査(インターナルレビュー)を行う場合、どの程度過去に遡って確認すべきですか?
A: Salesforce上のデータについて、直近4週間分の確認を推奨しています。
Q: 影響を受けていると思われますが、まだSalesforceから連絡がありません。誰に確認すればよいですか?
A: まずSalesforceに直接ご連絡いただき、影響の有無について確認されることをお勧めします。
本回答執筆時点では、Salesforceから影響を受けたお客様にメールが送付されている可能性があります。
Q: 社内調査を支援するために、Gainsightが提供できるログはありますか?
A: 調査されたい内容によって提供可能なログは異なります。
追加のログが必要な場合は、Gainsightサポートチーム宛てにサポートチケットを起票し、ご要件をお知らせください。
Q: GainsightアプリがSalesforceから取り消されています。再度自社環境へデプロイする必要がありますか?
A: はい。再度有効化するための手順については、準備が整い次第、全てのお客様にご案内します。
Q: ユーザーがSalesforce経由でGainsightにアクセスしている場合、インシデントが解決するまでログインできませんか?
A: いいえ。暫定的な回避策として、GainsightのURLから直接ログインすることが可能です。
ご自身のURLが不明な場合は、Gainsightサポートチームまでお問い合わせください。
Q: 影響を受けたお客様に関するSalesforce側の調査完了まで、どれぐらい時間がかかるか何か説明はありますか?
A: 現時点で、Salesforceから調査完了までの見込みは示されていません。
調査は継続中であり、進捗に応じて情報を更新してまいります。
Q: 今回の攻撃が、Gainsightプラットフォーム発の他のコネクタや接続にまで広がっている証拠はありますか?
A: いいえ。現在の証拠に基づく限り、影響が確認されているのはGainsight CSとSalesforceの接続のみです。
Q: 全てのGainsightユーザーにパスワードリセットを依頼すべきでしょうか?
A: はい。これは有効な予防措置として推奨されます。
Q: 根本原因分析(Root Cause Analysis)の提供時期は決まっていますか?
A: 現時点では、根本原因分析の提供時期について確定した提供時期はありません。
新しい情報が得られ次第、ステータスページ等で継続的に更新していきます。
Q: Salesforceに関係しない設定も含め、Gainsight上のすべての設定作業を一旦止めるべきでしょうか?
A: 現時点で、Gainsightのスタンドアロン機能に影響があるという兆候はありません。
そのため、Salesforceに依存しない設定作業については継続していただいて問題ありません。
Q: 今日時点で、他に動作していないGainsight CSのコネクタはありますか?
A: 現時点では、予防的措置として Zendesk および HubSpot コネクタが、それぞれのベンダーにより無効化されています。
Q: Gainsight CSで現在利用できる機能と利用できない機能について、一覧はありますか?
A: はい。対象機能についてまとめたドキュメントがありますので、そちらをご確認ください(英文)。
◆ 2025年11月20日アップデート
ここからは、11月20日に公開されたQ&A全文です。
Q: どのような不審なアクティビティが発生し、他アプリとのOAuth連携の侵害は否定されていますか?
A: Salesforceにて、Gainsight Connected Appを利用したAPIコールが、ホワイトリストに登録されていないIPアドレスから行われていることが検知されました。
現時点で影響が確認されているのは3つの組織のみです。影響が及ぶ可能性があるのは、GainsightとSalesforceの接続部分のみと見られています。
Q: もし影響を受けている場合、Salesforceから連絡が来ますか?
A: はい。影響があるお客様には、Salesforceからすでに能動的に連絡が行われているはずです。
Q: Salesforceから連絡がない場合、影響はなかったと考えてよいですか?
A: 影響を受けていない可能性が高いですが、調査はまだ継続中です。
Q: Salesforceに接続していないルールも失敗していましたが、現在は正常に動作しますか?
A: はい。本日中に修正が適用されました。Salesforceに依存しないクエリ、ルール、Data Designerは、現在は通常どおり動作している想定です。
Q: S3ジョブは影響を受けていますか?
A: いいえ。Salesforceデータに一切依存していないS3ジョブについては、正しく実行され続ける見込みです。
Q: 調査完了までの目安(ETA)はありますか?
A: 調査には数日を要する見込みで、現時点では完了時期についての明確なタイムラインはありません。
Q: 失敗により非アクティブ化されたルールは、手動で再有効化する必要がありますか?
A: はい。繰り返し失敗した一部のルールは、管理者による手動の再有効化が必要です。
Q: 連携が復旧した際、データ処理は安全だと信頼できますか? 収集された資格情報が攻撃者に利用される心配はありませんか?
A: Gainsight、Salesforce、第三者フォレンジック企業の3者が、すべてのセキュリティレイヤーを共同でレビューしています。
APIアクセスは、完全に問題がないと確認されるまでは復旧されません。第三者機関からは正式なレポートと、必要な是正措置に関するガイダンスが提供されます。
また、Gainsightでは、Connected Appをパッケージ版に移行することで、クリーンかつ安全なリセットを行う予定です。
絶対的な安全を100%保証することは困難ですが、十分な検証を経てからのみサービスを再開します。
Q: 他のGainsight製品も停止した方がよいですか?
A: いいえ。現時点では、Gainsight CS以外の製品に影響が及んでいる兆候はありません。
Q: 今回のインシデントに関する詳細なタイムラインは共有されますか?
A: はい。調査完了後に、全体のタイムラインをまとめて共有します。
また、調査の進捗に応じて、適宜アップデートも提供します。
Q: 実際にデータが持ち出された(流出した)証拠はありますか? それとも不正アクセスだけですか?
A: 現時点でSalesforceからは、オブジェクトレベルでの影響やデータ流出の有無について、具体的な情報はまだ提供されていません。
Q: Salesforceのログインイベントが発生するGainsightコネクタのIPレンジ/サブネットを教えてもらえますか? Gainsight由来のIPからの通信は正規と見なせますか?
A: はい、提供可能です。ただし、現時点ではサポートチケット経由でのみご提供しています。
お客様はサポートチケットを起票して、この情報の提供をリクエストすることができます。
Q: 同期(Sync)が再開した際、何が起こりますか? すべての変更は正しく取り込まれますか?
A: コネクタが再有効化される際には、再認証(re-authorize)が必要になります。
既存のスケジュール設定は残りますが、停止していた一部ルールについては、管理者による再有効化が必要となる場合があります。
すべてのキュー(ジョブ)の処理が再開されると、一時的に遅延が発生する可能性があります。
また、コネクタ再有効化後は、重要なジョブが期待どおりに動作しているかをご確認いただくことを推奨します。
Q: 自社で独自の内部調査を行う際に利用できるログはありますか?
A: Salesforce側で、IPアドレス、タイムスタンプ、Connected Appのアクティビティが記録されたログが保持されています。
必要に応じて、管理者はSalesforceから追加のConnected Appアクセスログをリクエストできます。
Q: Gainsightの他の連携で使用している認証情報(トークン、証明書など)はすべてローテーションされていますか?
A: お客様が管理されているその他のGainsight連携については、お客様側でキーのローテーションを実施いただくことができます。
第三者の調査チームも、これらについて監査を行う予定です。
Q: Gainsight全体が侵害された可能性はありますか? それともSalesforce Connected Appに限定された話ですか?
A: 現時点では、今回の問題がより広範囲に及んでいる兆候は確認されていませんが、調査は引き続き進行中です。
Q: 侵害されたトークンはすべての組織にアクセスできるのですか? それとも特定の組織に限定されていますか?
A: 影響は限定的であり、悪用されたトークンはそれぞれ単一のお客様組織のみにスコープされていました。
Q: 不正なIPからの接続は自分たちの側で確認できますか? それともGainsight側で保管されていますか?
A: 接続はSalesforce社で保管されています。
接続リクエストの一覧については、Salesforceに依頼して取得することができます。
Q: 攻撃者がフィッシングメールを送信したり、大量メール送信機能を悪用したりした兆候はありますか?
A: 現時点で、そのような活動の兆候は確認されていません。
追加の監視体制もすでに導入されています。
Q: Gmail/Outlookプラグインは影響を受けますか?
A: ユーザーがSalesforce経由でログインしている場合は影響を受けます。
回避策として、Gainsightへの直接ログイン、またはBCCアドレスの利用をご検討ください。
Q: 当面の間、CSMはCSQLをSalesforce上で直接作成する必要がありますか?
A: はい。Renewal CenterおよびCSQLの画面は、Salesforceへの即時書き込みが必要なため、現時点では利用できません。
Q: Journey Orchestratorの停止により、アンケート回答が記録されないことはありますか?
A: いいえ。アンケート回答自体は、通常どおり取り込まれます。
ただし、Salesforce情報に依存するオーディエンスクエリは失敗します。
Q: 第三者によるレビューのために、Gainsight側のログをエクスポートする方法はありますか?
A: APIコールに関しては、Salesforceのログをご確認いただく必要があります(Salesforceから取得可能です)。
Gainsight側のログ提供については、どのような情報が必要とされているかを踏まえ、現在検討を進めています。
Q: 失敗が繰り返されたルールが自動的に非アクティブ化されました。どうすればよいですか?
A: 5回連続で失敗したルールは非アクティブ化されましたが、現在は全リージョンで再度アクティブ化されています。
Q: Salesforce経由でまったくログインできません。どうしたらよいですか?
A: 管理者が有効化している場合は、Gainsightへの直接ログインをご利用ください。