Snowflake環境で1億人分の情報が漏えい 「もらい事故で大損害」を防ぐための5つの対策

Snowflake環境を利用していたユーザー企業が次々とサイバー攻撃を受けた。その数は100社に上り、1億人分の情報が漏えいした企業もある。

[Matt Kapko，Cybersecurity Dive]

　自社に原因がなくても、サイバー攻撃を受けて情報が漏えいしたり、多大な対策費用が必要になったりする場合がある。

5つの対策を紹介

　このような攻撃に備える対策が5つある。順に紹介しよう。

　自動車部品の小売業を営むAdvance Auto Partsは、2024年7月10日に「当社が利用していたSnowflake環境へのサイバー攻撃により230万人以上の個人情報が流出した」と明らかにした（注1）。

　メイン州の司法長官事務所に提出した開示書類の中で、Advance Auto Partsは「攻撃者は2024年4月14日に当社のSnowflake環境に侵入し、同年5月24日まで不正アクセスを続けた」と述べた。

　Advance Auto Partsのイーサン・スタイガー氏（シニアバイスプレジデント兼最高情報セキュリティ責任者）によると、同社が攻撃を最初に検知したのは2024年5月23日だったという。情報漏えいの影響を受けた顧客に送付した通知の中で、スタイガー氏は「他の多くの企業と同様に、当社がクラウドストレージとデータウェアハウス・ベンダーとして契約していたSnowflake内の特定の情報に無許可の第三者がアクセスした」と述べた。

　Advance Auto Partsは、データ侵害に関する開示書類の中で「当社のSnowflake環境が侵害を受け、求人応募プロセスの中で収集された個人情報が流出した」と述べた。漏えいしたデータには、氏名や社会保障番号、運転免許証やその他の政府発行のID番号、生年月日が含まれる可能性があるという。

　Advance Auto Partsは、2024年6月10日にデータ漏えいに関する調査を完了した。

1億人分の情報が漏えい

　Snowflakeの顧客環境を狙った攻撃は2024年4月から相次ぎ、少なくとも100社が影響を受けた（注2）。この攻撃ではSnowflakeのIT環境自体は侵害されておらず、顧客のアカウントとデータベースが主な攻撃対象だった。

　Snowflakeと攻撃との関連を公表した被害組織はほとんどない。情報漏えいの影響を受けた顧客が続々と名乗り出れば、他の企業もそれに続くかもしれない。

　大手通信企業のAT＆Tは、2024年7月12日に米証券取引委員会に提出した書類の中で「2024年4月に、当社のSnowflake環境が11日の間、侵入を受け、約1億1000万人の顧客の通話記録とテキストメッセージの記録が盗まれた」と述べた（注3）。

　データストレージソリューションを提供するPure Storageは、2024年6月の中旬にSnowflakeの顧客データベースを狙った「アイデンティティーベースのサイバー攻撃」によって影響を受けたことを確認した最初の顧客となった（注4）。

　Snowflakeとインシデントレスポンスを請け負ったMandiantとCrowdStrikeは、この攻撃はSnowflakeのエンタープライズ環境の脆弱性や侵害によって引き起こされたものではないと主張した（注5）。

　Mandiantは、2024年6月の脅威インテリジェンスレポートの中で「経済的な動機を有する攻撃者の『UNC5537』が、マルウェア『infostealer』を使って盗み出した認証情報を使用して、Snowflakeの顧客データベースにアクセスした」と述べた。

アイデンティティーベースのサイバー攻撃を防ぐには

　アイデンティティーベースのサイバー攻撃は、個人や組織のデジタルIDを標的とする攻撃手法で、近年急増している。ユーザーの認証情報や個人情報を悪用して、システムやネットワークに不正アクセスすることが目的だ。攻撃者は正規ユーザーになりすまし、組織の機密データにアクセスしようとする。

　Mandiantによると、Snowflake環境を狙った攻撃は、Snowflakeの所有下にないシステムが複数の情報盗難型マルウェアに感染し、盗まれた認証情報が攻撃の侵入経路になったのだという。つまりアイデンティティーベースのサイバー攻撃だった。

　正規の認証情報を利用しているため、検知が困難で、企業が攻撃に気付くまで平均して250日もかかるという報告がある。

　アイデンティティーベースのサイバー攻撃は主に5つの手法を用いる。

（1）フィッシング　メールやSMS、細工が施されたWebページなどを使って、ユーザーから認証情報をだまし取る
（2）クレデンシャルスタッフィング　過去のデータ侵害やダークWebから入手した盗まれたユーザー名とパスワードのペアを利用して複数のサービスに対して自動化したログイン試行を試みる
（3）中間者攻撃　ユーザーの通信を傍受して情報を盗み取ったり、改ざんしたりする攻撃。公共の無償Wi-Fiなどを利用した場合に起こりやすい
（4）パスザハッシュ　主にWindowsの認証システムで使われる。ユーザーのパスワードのハッシュ値を利用して認証をバイパスする
（5）情報窃取型マルウェア　Snowflakeの事例ではこれが使われた

　アイデンティティーベースのサイバー攻撃から企業を守る方法は主に5つある。

（1）多要素認証の導入　パスワードだけでなく、複数の認証要素を使用する

（2）ネットワーク許可リスト　システムへのアクセスを信頼できる場所に制限するためのネットワーク許可リストを使用する

（3）アクセス管理　最小権限の原則に基づいて、ユーザーのアクセス権を絞り込む。退職した職員や特定の期間働く職員の権限がおろそかになりやすい。過去に漏えいしたIDとパスワードの組み合わせを調査することも役立つ

（4）監視とログ分析　正規の認証情報を利用した攻撃から企業を守るには、ふるまい検知などのインテリジェントな監視とログ分析が必要になる

（5）マルウェア対策　Snowflakeの事例ではマルウェア対策が不十分だった（キーマンズネット編集部）

出典：Snowflake-linked attack on Advance Auto Parts exposes 2.3 million people（Cybersecurity Dive）
注1：Data Breach Notifications（Maine.gov）
注2：100 Snowflake customers attacked, data stolen for extortion（Cybersecurity Dive）
注3：Massive Snowflake-linked attack exposes data on nearly 110M AT&T customers（Cybersecurity Dive）
注4：Pure Storage comes forward as an early victim of Snowflake-linked attacks（Cybersecurity Dive）
注5：What we know about the Snowflake customer attacks（Cybersecurity Dive）