セキュリティ研究者は、財政的な動機を持つ犯罪者が、巨大なデータバンクをホストする数百人の顧客から「重要なデータ量」を盗んだと信じていると述べています。これらの顧客は、クラウドストレージの巨大なSnowflakeを利用しています。
事件対応企業のMandiantは、最近のデータ窃盗事件の調査を行っているSnowflakeと連携して、月曜日にブログ投稿で、約165人の顧客に自分たちのデータが盗まれた可能性があることを通知したと述べました。
これは、4月から始まったアカウントハック以来、影響を受けたSnowflakeの顧客数が初めて開示されたものです。Snowflakeは、これまでに攻撃についてほとんど言及しておらず、「限られた数」の顧客が影響を受けていると述べています。クラウドデータの巨人Snowflakeは、データ分析にSnowflakeを使用しているヘルスケア機関、小売業界の巨大な企業、世界最大のテクノロジー企業など、9800社を超える企業顧客を持っています。
これまでに、TicketmasterとLendingTreeのみが、自身の盗まれたデータがSnowflakeにホストされていたことを確認しています。その他多くのSnowflakeの顧客は、現在、自身のSnowflake環境からデータが盗まれた可能性について調査を行っていると述べています。
Mandiantは、脅威キャンペーンが「継続中」であり、Snowflakeの企業顧客からデータ窃盗を報告する数が増える可能性があると述べました。
Mandiantはブログ投稿で、アカウントハックをUNC5537と呼ばれるまだ分類されていないサイバー犯罪グループに帰属し、このグループは金儲けが動機だと説明しています。Mandiantは、このサイバー犯罪グループには北米のメンバーと少なくとも1人のトルコのメンバーがいると述べており、被害者に支払いを求めるか、ファイルを取り戻すか、顧客のデータの公開を防ぐよう脅迫するとされています。
Mandiantは、これらの攻撃が「盗まれた資格情報を使用して顧客のSnowflakeインスタンスにアクセスし、最終的に貴重なデータを持ち出す」と依存していると述べ、少なくとも4月14日以降にさかのぼるこれらの攻撃を確認したことを明らかにしました。Mandiantは、5月22日にSnowflakeに自社の顧客アカウントの侵入を通知したと述べています。
セキュリティ企業は、UNC5537が使用した多くの盗まれた資格情報が「過去のinfostealer感染から利用可能である」と述べており、そのうちのいくつかは2020年までさかのぼるものです。Mandiantの調査結果は、Snowflakeが自身のシステムへの直接的な侵害はなく、顧客アカウントがマルチファクタ認証(MFA)を使用していないことを原因としているSnowflakeの限定的な開示を確認しています。
先週、TechCrunchは、従業員のコンピュータに感染したマルウェアによって盗まれた数百のSnowflake顧客の資格情報がオンラインで出回っていることを発見しました。Snowflake環境へのアクセス権を持つスタッフのコンピュータに感染した場合、まだパスワードを変更していないか、MFAを有効にしていない顧客にとって継続的なリスクがあるということを示唆しています。
Mandiantは、「数百の顧客のSnowflakeの資格情報がinfostealerを通じて露出している」と述べています。
Snowflakeは、デフォルトで顧客にMFAの使用を要求または強制していません。先週金曜日に簡単な更新を行ったSnowflakeは、MFAの使用を顧客アカウントで強制する計画を立てていると述べていますが、まだタイムラインを提供していません。
Snowflakeの広報担当Danica Stanczakは、なぜ同社が顧客のパスワードをリセットしたり、MFAを強制しなかったのかについてコメントを控えました。Snowflakeは、月曜日のMandiantのブログ投稿についてすぐにコメントを出していません。
雪の結晶のアカウント侵害について詳細を知っていますか?お知らせください。この記者に連絡するには、SignalとWhatsAppで+1 646-755-8849、またはメールで連絡することができます。また、SecureDropを介してファイルや文書を送信することもできます。
顧客データの侵害についてSnowflakeが述べていないこと
