Snowflakeへの攻撃が止まらない なぜ被害企業が増えるのか

Snowflakeの顧客情報を盗み出すサイバー犯罪が止まらない。なぜ被害が広ってしまったのだろうか。

[Matt Kapko，Cybersecurity Dive]

　データプラットフォーム企業Snowflakeへのサイバー攻撃が止まらない。2カ月の間に同社の顧客環境を標的とした攻撃が相次ぎ、被害が生じた形跡もある。

なぜ被害が拡大したのか

　Snowflakeと連携して調査を進めているMandiantによると、少なくともSnowflakeの顧客100社が攻撃の影響を受けており（注1）、約165社が潜在的な被害を受けているという。なぜ、これほど被害が拡大したのだろうか。

　データストレージベンダーのPure Storageは2024年6月11日付でセキュリティ情報を発表した（注2）。同社はSnowflakeの顧客として初めて公の場で攻撃の影響を明らかにしたことになる。

　Snowflakeから漏えいした可能性のある企業名は他には分かっていない。

　今回の攻撃はシステムの脆弱（ぜいじゃく）性や設定ミス、侵入によって引き起こされたものではないとSnowflakeは発表している。Mandiantによると、Snowflakeの所有下にないシステムが複数の情報盗難型マルウェアに感染し、盗まれた認証情報が攻撃の侵入経路になったのだという。影響を受けた顧客アカウントには多要素認証（MFA）が設定されていなかった。

　Snowflakeのブラッド・ジョーンズ氏（最高情報セキュリティ責任者）は、2024年6月5日に「Cybersecurity Dive」に向けた声明の中で次のように述べた。

　「当社はMFAやネットワークアクセスポリシーの有効化など、最善の保護方法について顧客とコミュニケーションをこれまで取ってきた。悪質な活動を示す強い疑いがある特定のユーザーアカウントを一時停止していた。また、サイバー脅威との関連性が高いIPアドレスも段階的にブロックしてきた」（ジョーンズ氏）

最初に起こったことは何か

　Mandiantが2024年6月10日に発表した脅威インテリジェンスレポートによると（注3）、Snowflakeの顧客インスタンスへの不正アクセスが起こった最も古い証拠は2024年4月14日のものだ。

　Mandiantは「2024年4月19日に未知のデータベースから盗まれたデータの調査を開始した」と述べた。2024年5月14日にMandiantは、Snowflakeに対する特定の（意図しない外部からの）接続があったことを確認した。この時点で、Mandiantがサービスを提供している2社が、Snowflakeのテナントにおいてデータを紛失したことも確認できた。

　Mandiantのチャールズ・カーマカル氏（最高技術責任者）は、Cybersecurity Diveに対して次のように語った。

　「脅威キャンペーンに関する調査は複雑で、初期段階では接続があったのかどうか明確でないことが多い。最終的にSnowflakeに関連する脅威キャンペーンだと分かったものについて調査を開始したとき、私たちはまだ攻撃者がSnowflakeの複数の顧客のテナントを侵害したことを知らなかった」

　2024年5月22日、MandiantはSnowflakeの顧客に影響を与えるさらに広範な攻撃キャンペーンの証拠を発見した。同社は、同日中にSnowflakeと法執行機関に攻撃について通知した。

　「複数の被害者に影響を与える脅威キャンペーンだということを知った時点で、私たちは判明している情報を基にSnowflakeに通知した。その時点ではまだ完全な情報を保有しておらず、事態を理解しようとしている最中だった。攻撃キャンペーンの詳細が明らかになるにつれて、Snowflakeとの話し合いは進んだ。当社はSnowflakeと協力しながら、攻撃キャンペーンについてより多くの知識を得た」（カーマカル氏）

盗難されたデータが販売されていた

　Mandiantによると、Snowflakeの顧客データベースから盗んだとされるデータを犯罪者が販売目的で投稿した最も古い事例は、2024年5月24日のものだ。

　Snowflakeは2024年5月30日に顧客データベースへの攻撃を公表し（注4）、顧客に対して、Snowflakeのアカウント内で潜在的な脅威活動を調査するための侵害指標と追加の推奨行動を提供した（注5）。Mandiantは2024年6月17日にSnowflakeの顧客がデータベースインスタンス上の悪質な活動を検出するのに役立つ脅威ハンティングガイドを公開した（注6）。

　SnowflakeとMandiantは盗まれた認証情報のソースとして情報盗難型マルウェアだと指摘した。だが、なぜ短期間にこれほど多くの攻撃がSnowflakeの顧客を襲ったのか、なぜ全ての攻撃がSnowflakeに帰結するのかを説明する情報は共有していない。

　この攻撃について、MandiantとCrowdStrikeの協力を得て調査が続いている。

次に何が起こるのか

　データの盗難や代金の要求、ダークWebでの盗難データの販売から回復した企業の詳細は明らかにされていない。

　Snowflakeは攻撃の影響を受けた顧客を特定していない。アナリストや脅威ハンターは、多くの企業が重大なリスクに直面しており、被害は拡大していると警告している。

　Mandiantの広報担当者がCybersecurity Diveに対して語ったところによると、2024年6月13日の時点で、「UNC5537」という名称で知られる経済的動機を持った攻撃者は、Snowflakeの顧客環境から盗まれたデータを使って依然として被害者を脅迫している。

出典：What we know about the Snowflake customer attacks（Cybersecurity Dive）
注1：100 Snowflake customers attacked, data stolen for extortion（Cybersecurity Dive）
注2：Pure Storage comes forward as an early victim of Snowflake-linked attacks（Cybersecurity Dive）
注3：UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion（Google Cloud）
注4：Snowflake customers caught in identity-based attack spree（Cybersecurity Dive）
注5：Detecting and Preventing Unauthorized User Access: Instructions（Snowflake）
注6：Mandiant Threat Hunting Guide Snowflake v1.0（Mandiant）