メディア

Snowflakeユーザーを狙った大規模サイバー攻撃 被害者の共通点とは

Snowflakeを利用していた企業のうち、少なくとも100社がサイバー攻撃を受けた。原因はSnowflakeなのか、それともそれ以外の原因があるのだろうか。

» 2024年08月21日 07時00分 公開
[Matt KapkoCybersecurity Dive]
Cybersecurity Dive

 サイバー攻撃はあらゆる業種の企業に及ぶ。2024年7月に明らかになった攻撃では電話会社が狙われた。

1億1000万人分のデータが流出した

 大手通信企業のAT&Tは「Snowflakeのクラウドサービスを狙ったサイバー攻撃により、無線通信を利用する当社のほぼ全ての顧客データが流出した」と明らかにした。2024年7月12日に米証券取引委員会(SEC)に同社が提出した書類(注1)に詳細が記されている。

 AT&Tの年次報告書によると(注2)、1億1000万人近くの顧客が影響を受けたという。攻撃で盗まれたデータは、2022年10月31日までの6カ月間の通話記録とテキストメッセージの記録、2023年1月2日以降の記録だ。

 AT&Tによると、攻撃によってプライベートな通話内容やテキストメッセージの内容、顧客の氏名、個人を特定できる情報が流出したのではないという。しかし、盗まれた記録にはAT&Tの無線通信を利用している顧客がやりとりした電話番号や通信の回数、1日または1カ月の通話時間の合計が含まれていた。つまり、誰に何回電話したのかが攻撃者に筒抜けになってしまう。

Snowflakeを襲ったサイバー攻撃、被害者の共通点とは

 そもそもの発端はSnowflakeのクラウドサービスを標的とした攻撃だ。サービスを利用する際の認証情報(ユーザー名とパスワード)が盗み出された結果、少なくとも100社が影響を受けた。AT&Tもそのうちの1社だ(注3)。AT&Tのアンドレア・ヒューグリー氏(広報担当者)は、「Cybersecurity Dive」に対して「Snowflakeデータベースから顧客データが盗まれた」と語った。

 サイバーセキュリティ事業を営むMandiantは、2024年6月の脅威インテリジェンスレポートで「Snowflakeの顧客をターゲットにした攻撃は、Snowflakeのシステムの脆弱(ぜいじゃく)性や設定ミス、違反によって引き起こされたものではない」と述べた(注4)。

 Mandiantによると、Snowflakeが所有権を持たない複数のシステムがマルウェア「infostealer」に感染し、盗まれた認証情報が攻撃の入口になったという。影響を受けた顧客アカウントには多要素認証(MFA)が設定されていなかった。つまり、MFAを設定していれば少なくとも攻撃の一部を防げたということになる。

 AT&Tは2024年4月19日、攻撃を受けて通話ログが盗み出されたことに気付き、サードパーティーに所属するサイバーセキュリティ専門家の支援を受けて、直ちにインシデント対応プロセスを開始した。

 AT&Tによると、攻撃者は2024年4月14日〜同年4月25日にAT&TのSnowflake環境にアクセスしたという。

 AT&Tは、SECに提出した書類の中で次のように記した。

 「当社はこのインシデントに対応するため、不正アクセスがあったポイントを閉鎖するなど、追加のサイバーセキュリティ対策を講じた。また、当社は現在および過去に影響を受けた顧客に通知を行う予定だ」

 SECへの提出書類によると、国家安全保障と公共の安全に対する潜在的なリスクを理由として、2024年5月9日と同年6月5日に連邦捜査局(FBI)と司法省から許可を得て、AT&Tは、SECに対するサイバーセキュリティインシデントの開示を遅らせた。FBIは司法省に判断を委ねる前に、情報開示の遅延許可について調査を実施する(注5)。

 FBIの広報担当者は次のように述べた。

 「AT&TとFBI、司法省は1回目と2回目の遅延プロセスを通じて連携し、FBIの捜査権を強化するために重要な脅威情報を共有し、AT&Tのインシデント対応業務を支援した」

 AT&Tは「現在進行中の捜査において法執行機関と協力している」と述べた。また、同社はSECへの提出書類の中で「当社が入手可能な情報によると、少なくとも1人が逮捕されたようだ。本書類の提出時点において、当社は、盗まれたデータがまだ公開されていないと考えている」とも述べた。

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。