Snowflakeユーザーを狙った大規模サイバー攻撃 被害者の共通点とは
Snowflakeを利用していた企業のうち、少なくとも100社がサイバー攻撃を受けた。原因はSnowflakeなのか、それともそれ以外の原因があるのだろうか。
サイバー攻撃はあらゆる業種の企業に及ぶ。2024年7月に明らかになった攻撃では電話会社が狙われた。
1億1000万人分のデータが流出した
大手通信企業のAT&Tは「Snowflakeのクラウドサービスを狙ったサイバー攻撃により、無線通信を利用する当社のほぼ全ての顧客データが流出した」と明らかにした。2024年7月12日に米証券取引委員会(SEC)に同社が提出した書類(注1)に詳細が記されている。
AT&Tの年次報告書によると(注2)、1億1000万人近くの顧客が影響を受けたという。攻撃で盗まれたデータは、2022年10月31日までの6カ月間の通話記録とテキストメッセージの記録、2023年1月2日以降の記録だ。
AT&Tによると、攻撃によってプライベートな通話内容やテキストメッセージの内容、顧客の氏名、個人を特定できる情報が流出したのではないという。しかし、盗まれた記録にはAT&Tの無線通信を利用している顧客がやりとりした電話番号や通信の回数、1日または1カ月の通話時間の合計が含まれていた。つまり、誰に何回電話したのかが攻撃者に筒抜けになってしまう。
Snowflakeを襲ったサイバー攻撃、被害者の共通点とは
そもそもの発端はSnowflakeのクラウドサービスを標的とした攻撃だ。サービスを利用する際の認証情報(ユーザー名とパスワード)が盗み出された結果、少なくとも100社が影響を受けた。AT&Tもそのうちの1社だ(注3)。AT&Tのアンドレア・ヒューグリー氏(広報担当者)は、「Cybersecurity Dive」に対して「Snowflakeデータベースから顧客データが盗まれた」と語った。
サイバーセキュリティ事業を営むMandiantは、2024年6月の脅威インテリジェンスレポートで「Snowflakeの顧客をターゲットにした攻撃は、Snowflakeのシステムの脆弱(ぜいじゃく)性や設定ミス、違反によって引き起こされたものではない」と述べた(注4)。
Mandiantによると、Snowflakeが所有権を持たない複数のシステムがマルウェア「infostealer」に感染し、盗まれた認証情報が攻撃の入口になったという。影響を受けた顧客アカウントには多要素認証(MFA)が設定されていなかった。つまり、MFAを設定していれば少なくとも攻撃の一部を防げたということになる。
AT&Tは2024年4月19日、攻撃を受けて通話ログが盗み出されたことに気付き、サードパーティーに所属するサイバーセキュリティ専門家の支援を受けて、直ちにインシデント対応プロセスを開始した。
AT&Tによると、攻撃者は2024年4月14日〜同年4月25日にAT&TのSnowflake環境にアクセスしたという。
AT&Tは、SECに提出した書類の中で次のように記した。
「当社はこのインシデントに対応するため、不正アクセスがあったポイントを閉鎖するなど、追加のサイバーセキュリティ対策を講じた。また、当社は現在および過去に影響を受けた顧客に通知を行う予定だ」
SECへの提出書類によると、国家安全保障と公共の安全に対する潜在的なリスクを理由として、2024年5月9日と同年6月5日に連邦捜査局(FBI)と司法省から許可を得て、AT&Tは、SECに対するサイバーセキュリティインシデントの開示を遅らせた。FBIは司法省に判断を委ねる前に、情報開示の遅延許可について調査を実施する(注5)。
FBIの広報担当者は次のように述べた。
「AT&TとFBI、司法省は1回目と2回目の遅延プロセスを通じて連携し、FBIの捜査権を強化するために重要な脅威情報を共有し、AT&Tのインシデント対応業務を支援した」
AT&Tは「現在進行中の捜査において法執行機関と協力している」と述べた。また、同社はSECへの提出書類の中で「当社が入手可能な情報によると、少なくとも1人が逮捕されたようだ。本書類の提出時点において、当社は、盗まれたデータがまだ公開されていないと考えている」とも述べた。
出典:Massive Snowflake-linked attack exposes data on nearly 110M AT&T customers(Cybersecurity Dive)
注1:AT&T INC.(SEC)
注2:AT&T INC.(AT&T)
注3:100 Snowflake customers attacked, data stolen for extortion(Cybersecurity Dive)
注4:UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion(Google Cloud)
注5:FBI to field SEC cyber incident disclosure delay requests(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
Snowflakeへの攻撃が止まらない なぜ被害企業が増えるのか
Snowflakeの顧客情報を盗み出すサイバー犯罪が止まらない。なぜ被害が広ってしまったのだろうか。
多要素認証はこうして突破される 5大攻撃手法と防御策
サイバー攻撃を防ぐためにパスワードに加えて多要素認証が広く使われている。だが多要素認証は必ずしも安全ではない。多要素認証を突破する攻撃のテクニックと、攻撃を防ぐ方法について紹介する。
たったそれだけ? クラウドセキュリティのお寒い実態
広く普及したクラウドサービスには弱点がある。セキュリティ対策だ。サービス事業者に任せきりにできる部分はあるものの、ユーザー側の防御が不可欠だ。調査の結果、最低限の対策ができていない企業が残っていることが分かった。