News Category

AI（人工知能）
量子コンピューター
 スペーステクノロジー
 サイバーセキュリティ
 VR/AR
テクノロジーとエンタメ
 チャットボット
 ブロックチェーン
 半導体
 バイオテクノロジー
 ニューロテクノロジー
 ロボティクス
 ヘルスケア
 テクノロジーと社会
 サステナブル

Salesforce Industry Cloudで20以上の脆弱性発見、CVE-2025-43700など5つのCVE割り当て – ローコードプラットフォームのセキュリティ課題が浮き彫りに

2025年6月11日8:51

サイバーセキュリティニュース

Salesforce Industry Cloudで20以上の脆弱性発見、CVE-2025-43700など5つのCVE割り当て - ローコードプラットフォームのセキュリティ課題が浮き彫りに - innovaTopia - （イノベトピア）

Last Updated on 2025-06-11 08:51 by admin

AppOmniのサイバーセキュリティ研究者らが2025年6月10日、Salesforce Industry Cloud（別名Salesforce Industries）において20以上の設定関連リスクを発見したと発表した。

これらの脆弱性はFlexCards、Data Mappers、Integration Procedures、Data Packs、OmniOut、OmniScript Saved Sessionsなどのコンポーネントに影響する。

AppOmniのSaaSセキュリティ研究責任者Aaron Costelloが責任ある開示を行った結果、Salesforceは5つの脆弱性にCVE識別子を割り当てた。

CVE-2025-43697とCVE-2025-43698はCVSSスコア未評価、CVE-2025-43699はスコア5.3、CVE-2025-43700とCVE-2025-43701はスコア7.5である。

Salesforceは3つの問題を自動修正し、2つについて設定ガイダンスを発行したが、残り16の設定ミスは顧客が自己修正する必要がある。同時期にセキュリティ研究者Tobia Righi（MasterSplinter）がSOQLインジェクション脆弱性も発見している。

AppOmniの顧客の25%以上がSalesforce Industry Cloudを利用している。

From: Researchers Uncover 20+ Configuration Risks, Including Five CVEs, in Salesforce Industry Cloud

【編集部解説】

今回のSalesforce Industry Cloudにおける脆弱性発見は、単なるセキュリティ問題を超えて、ローコードプラットフォームの本質的な課題を浮き彫りにしています。この事案は、テクノロジーの民主化が進む現代において避けて通れない重要な議論を提起しています。

ローコードプラットフォームの二面性

Salesforce Industry Cloudは、医療、金融、製造業など特定業界向けのカスタマイズされたCRMソリューションを、非技術者でも容易に構築できるプラットフォームです。2020年にSalesforceが買収したVlocity（現Salesforce Industries）の技術をベースとしており、OmniStudioというローコードツールを活用しています。

しかし、この「簡単さ」こそが今回の問題の根源となっています。AppOmniの研究によると、同社の顧客の25%以上がSalesforce Industry Cloudを利用しており、影響範囲は「数万の組織」に及ぶ可能性があります。

責任の所在という新たな課題

特に注目すべきは、発見された21の問題のうち、Salesforceが自動修正したのはわずか3つで、残り18の問題は顧客の責任で修正する必要があるという点です。これは従来のソフトウェア脆弱性とは根本的に異なる性質を示しています。

CVE-2025-43697やCVE-2025-43698については、新しい「EnforceDMFLSAndDataEncryption」設定を顧客が有効化する必要があり、設定ミス一つで数千のレコードが漏洩する可能性があります。HIPAA、GDPR、SOX、PCI-DSSなどの規制対象企業にとって、これは深刻な法的リスクを意味します。

技術的複雑性の隠蔽がもたらすリスク

今回発見された脆弱性の多くは、FlexCards、Data Mappers、Integration Proceduresといったコンポーネントで、フィールドレベルセキュリティ（FLS）の不適切な実装や、暗号化データの平文表示といった基本的なセキュリティ原則の欠如に起因しています。

特にCVE-2025-43700（CVSSスコア7.5）では、Classic Encryptionを使用したデータが「View Encrypted Data」権限を持たないユーザーにも平文で表示される問題があり、これは暗号化の意味を根本的に無効化する深刻な欠陥です。

業界全体への波及効果

この事案は、ローコード・ノーコードプラットフォーム業界全体に重要な示唆を与えています。技術の民主化を進める一方で、セキュリティの専門知識を持たないユーザーが重要なシステムを構築する際のガバナンス体制の確立が急務となっています。

また、Tobia Righi氏が同時期に発見したSOQLインジェクション脆弱性は、Salesforce IDの予測可能性という根本的な設計問題を露呈しており、プラットフォーム全体のセキュリティアーキテクチャの見直しが必要な可能性を示唆しています。

まとめ

この事案は、テクノロジーの進歩と普及が必ずしも安全性の向上を意味しないことを明確に示しています。今後、ローコードプラットフォームの発展においては、セキュリティ・バイ・デザインの原則をより徹底し、非技術者でも安全な設定を行えるようなUX/UIの改善が不可欠となるでしょう。

【用語解説】

Salesforce Industry Cloud（Salesforce Industries）
特定業界向けにカスタマイズされたSalesforceのCRMソリューション。医療、金融、製造業などの業界特有のニーズに対応した事前構築済みアプリケーション、ワークフロー、データモデルを提供する。

OmniStudio
Salesforce Industry Cloudの中核となるローコード開発プラットフォーム。FlexCards、Data Mappers、Integration Proceduresなどのコンポーネントを含み、非技術者でも複雑なビジネスアプリケーションを構築できる。

FlexCards
コンテキスト情報を一目で分かる形式で表示し、関連タスクへのアクセスを提供するOmniStudioのコンポーネント。複数のデータソースからの情報を統一的に表示できる。

Data Mappers
データの抽出、変換、ロードを行うサーバーサイドコンポーネント。Salesforceオブジェクトから他のシステムへのデータ連携や、データ形式の変換を担当する。

Integration Procedures（IProcs）
API、Apex、ビジネスロジックを統合するサーバーサイドオーケストレーションエンジン。1回のサーバーコールで複数のアクションを実行し、外部データソースからの情報取得も可能。

フィールドレベルセキュリティ（FLS）
Salesforceにおいて、特定のフィールドへのアクセス権限をユーザーやプロファイル単位で制御するセキュリティ機能。機密データの保護に重要な役割を果たす。

SOQL（Salesforce Object Query Language）
Salesforceのデータベースからデータを取得するためのクエリ言語。SQLに似ているが、Salesforce特有の制限と機能を持つ。

CVE（Common Vulnerabilities and Exposures）
セキュリティ脆弱性に対して割り当てられる一意の識別子。国際的な脆弱性データベースで管理され、セキュリティ対策の標準化に使用される。

CVSS（Common Vulnerability Scoring System）
セキュリティ脆弱性の深刻度を0.0から10.0のスコアで評価する標準システム。スコアが高いほど深刻な脆弱性を示す。

Classic Encryption
Salesforceの従来の暗号化機能。データを暗号化して保存するが、適切な権限チェックが行われない場合、平文で表示される可能性がある。

【参考リンク】

AppOmni（外部）
SaaSセキュリティプラットフォームを提供する企業。Salesforce、Microsoft 365、Slackなど主要SaaSアプリケーションのセキュリティ監視・管理サービスを展開している。

Salesforce（外部）
世界最大級のCRMプラットフォームを提供するクラウド企業。Sales Cloud、Service Cloud、Industry Cloudなど多様なクラウドサービスを展開している。

Salesforce Trust（外部）
Salesforceのセキュリティ、パフォーマンス、可用性に関する透明性を提供する公式サイト。リアルタイムの稼働状況やセキュリティ情報を公開している。

Salesforce Security（外部）
Salesforceのセキュリティチームとセキュリティ文化について説明し、企業の機密データ保護をサポートするツールとリソースを提供している。

Trailhead（外部）
Salesforceの公式学習プラットフォーム。システム管理者、ユーザー、開発者向けの体験型学習コンテンツとゲーム感覚の習得システムを提供している。

【参考動画】

【参考記事】

Security Can’t Be an Afterthought in Salesforce Industry Clouds（外部）
AppOmniのAaron Costello氏による詳細な技術レポート。発見された脆弱性の具体的な悪用方法と、顧客が取るべきセキュリティ対策を包括的に説明している。

New Salesforce Industry Clouds Security Report（外部）
AppOmniの公式研究レポートページ。OmniStudioの20以上のセキュリティ問題と5つのCVEに関する包括的な分析を提供している。

Finding an SOQL Injection 0-Day in Salesforce（外部）
セキュリティ研究者Tobia Righi氏によるSOQLインジェクション脆弱性の発見プロセス。技術的な攻撃手法とSalesforce IDの予測可能性について詳述している。

【編集部後記】

今回のSalesforce Industry Cloudの脆弱性発見は、私たちが日常的に利用するローコードプラットフォームの「便利さ」と「責任」について考えさせられる事案でした。

皆さんの組織では、非技術者でも簡単にアプリケーションを構築できるツールをどの程度活用されているでしょうか？また、その際のセキュリティ設定は誰が管理し、どのような基準で運用されているのでしょうか？

テクノロジーの民主化が進む中で、セキュリティの専門知識を持たないユーザーが重要なシステムを構築する際の課題について、ぜひご意見をお聞かせください。

サイバーセキュリティニュースをinnovaTopiaでもっと読む

TaTsu

デジタルの窓口　代表デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com

自己紹介の全文を表示

Recommend

6月17日【今日は何の日？】砂漠化および干ばつと闘う世界デー～『デューン砂の惑星』は現実になるのか？テクノロジーと私たちの選択が未来を分ける～

サステナブルニュース

2025年6月17日

本日6月17日は、国連が定める「砂漠化および干ばつと闘う世界デー」です。1994年のこの日に「国連砂漠化対処条約」が採択されたことを記念しています。2025年のテーマは「Restore the land. Unlock […]
続きを読む

Stable Diffusionのローカル環境構築手順-完全無料で無制限に画像生成

AI（人工知能）ニュース | 生成AIガイド

2025年5月27日

Last Updated on 2025-05-28 13:23 by admin Stable Diffusionはオープンソースなので完全にローカルの環境に導入することができます。有料のサービスやソフトは必要なく、一 […]
続きを読む
Google colabを利用したStable Diffusion Web UI導入方法-PCスペック不問で画像生成

AI（人工知能）ニュース | 生成AIガイド

2025年5月20日

Last Updated on 2025-05-28 13:24 by admin Google ColabでStable Diffusion Web UIを利用すれば、ほぼ無制限に大量の画像を生成できます。導入方法や使 […]
続きを読む
Dream Studioの使い方解説-Stable Diffusionの公式APIサービスで画像生成AIを無料体験

AI（人工知能）ニュース | 生成AIガイド

2025年5月13日

Last Updated on 2025-05-28 13:24 by admin Stability AI運営の「Dream Studio」ではStable Diffusionを利用した画像生成が無料で体験できます。初 […]
続きを読む