スノーフレーク攻撃は史上最大のデータ侵害の一つになるかもしれない

最近、ハンドルネーム「Sp1d3r」のBreachForumsアカウントが、Snowflake事件に関連していると主張するデータを持つ企業をさらに2社投稿した。Sp1d3rは、自動車大手のAdvance Auto Partsから3億8000万件の顧客詳細を取得したと主張しており、金融サービス会社LendingTreeとその子会社QuoteWizardからは1億9000万人分のデータを取得したと主張している。

ハッカーがサンプルデータに挙げたAdvance Auto Partsの従業員と顧客のメールアドレスの一部は、正規のアカウントであるように見えます。WIREDがこれらのアドレスに送信したメールは、バウンスメールや拒否メールにはなっていません。BleepingComputerは、Advance Auto Partsの顧客データを検証したと報告しています。

「アドバンスがスノーフレークに関連するセキュリティインシデントに関与している可能性があるという報告を受けています」と、同社広報担当者ダリル・カー氏はWIREDに語った。「現在この件について調査中で、現時点ではこれ以上の情報を共有することはできません。当社の業務やシステムへの影響は受けていません。」

本稿執筆時点では、LendingTreeもAdvance Auto Partsも証券取引委員会（SEC）に違反通知を提出していません。両社は以前、Snowflakeの顧客リストに載っていました。

LendingTreeの広報担当者はWIREDへの声明で、同社が「業務運営に」Snowflakeを使用していること、そして子会社のQuoteWizardが「今回のインシデントの影響を受けた可能性がある」と通知を受けたことを確認した。LendingTreeの広報担当者は、社内調査が進行中であると述べた。「現時点では、消費者の金融口座情報や親会社であるLendingTreeの情報に影響は出ていないようです」と広報担当者は述べている。

Snowflakeは、アカウントが標的とされたことを認めて以来、このインシデントに関する詳細情報を公開しています。Snowflakeの最高情報セキュリティ責任者であるブラッド・ジョーンズ氏はブログ記事で、脅威アクターが「購入、または情報窃取マルウェアを通じて入手」したアカウントのログイン情報を使用したと述べています。情報窃取マルウェアは、侵害されたデバイスからユーザー名とパスワードを盗み出すように設計されています。ジョーンズ氏はさらに、このインシデントは「シングルファクタ認証を使用しているユーザーを狙った標的型攻撃」のようだと付け加えました。

ジョーンズ氏の投稿によると、スノーフレークは、事件の調査に委託したサイバーセキュリティ企業のクラウドストライクとマンディアントと共に、今回の攻撃が「スノーフレークの現従業員または元従業員の認証情報の漏洩によって引き起こされた」ことを示す証拠は見つからなかったという。しかし、元従業員1人のデモアカウントがアクセスされたことは確認されており、そこには機密データは含まれていなかったと主張している。

特定企業のデータ漏洩の可能性について尋ねられたスノーフレークの広報担当者は、ジョーンズ氏の声明を引用し、「今回の活動がスノーフレークのプラットフォームの脆弱性、設定ミス、または侵害によって引き起こされたことを示す証拠は確認されていません」と述べた。その後の声明で、同社は「侵害」の意味を明確にし、「漏洩した認証情報によってアクセスされた当社の顧客アカウントは、スノーフレークに起因するものではありません」と述べた。（セキュリティ企業ハドソン・ロックは、スノーフレークからの法的書簡を受け取った後、スノーフレークの事件に関する様々な未検証の主張を含む調査記事を削除したと発表している。）

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁はスノーフレーク事件について警告を発しており、オーストラリアのサイバーセキュリティセンターは「スノーフレーク環境を利用している複数の企業への侵入が成功したことを認識している」と述べている。

不明な起源

BreachForums 上の Sp1d3r アカウントの広告データについてはほとんど知られておらず、ShinyHunters が販売していたデータを別のソースから入手したのか、被害者の Snowflake アカウントから直接入手したのかは明らかではありません。Ticketmaster と Santander の侵害に関する情報は、もともと SpidermanData という新しいユーザーによって別のサイバー犯罪フォーラムに投稿されていました。

Sp1d3rアカウントはBreachForumsに、LendingTreeとQuoteWizardのデータとされる2テラバイトが200万ドルで売りに出されていると投稿しました。一方、Advance Auto Partsのデータとされる3テラバイトのデータは150万ドルで売りに出されています。「この脅威アクターが設定した価格は、BreachForumsによくあるリストとしては非常に高額です」と、セキュリティ企業ReliaQuestのシニアサイバー脅威インテリジェンスアナリスト、クリス・モーガン氏は述べています。

モーガン氏は、Sp1d3rの正当性は明確ではないと述べていますが、10代のハッカー集団「Scattered Spider」への言及があると指摘しています。「興味深いことに、この脅威アクターのプロフィール写真は、脅威集団「Scattered Spider」に言及した記事から引用されていますが、これが意図的にこの脅威集団と関連付けるためなのかどうかは不明です。」

データ侵害の正確な出所は不明ですが、この事件は、サードパーティプロバイダーの製品やサービスに依存する企業がどれほど相互に依存しているかを浮き彫りにしています。「今回の件は、これらのサービスがいかに相互依存的であるか、そしてサードパーティのセキュリティ体制を管理することがいかに難しいかを認識した結果だと思います」と、セキュリティ研究者のトリー・ハント氏は、これらの事件が初めて明らかになった際にWIREDに語りました。

スノーフレークは、攻撃への対応の一環として、すべての顧客に対し、すべてのアカウントで多要素認証を強制し、許可されたユーザーまたは地域からのトラフィックのみを許可するよう指示しました。影響を受けた企業は、スノーフレークのログイン認証情報もリセットする必要があります。多要素認証を有効にすると、オンラインアカウントが侵害される可能性が大幅に低減します。前述のように、TechCrunchは今週、スノーフレークのアカウントにアクセスしたユーザーのコンピュータから、情報窃取型マルウェアによって「スノーフレークの顧客とされる数百件の認証情報」が盗まれたと報じました。

近年、新型コロナウイルス感染症のパンデミック以降、在宅勤務者が増えたことに伴い、インフォスティーラー型マルウェアの使用が増加しています。「インフォスティーラーは需要が高く、作成も容易なため、ますます人気が高まっています」と、セキュリティ企業Flashpointのインテリジェンス担当副社長、イアン・グレイ氏は述べています。ハッカーが既存のインフォスティーラーをコピーまたは改変し、感染したデバイス1台からログイン情報、Cookie、ファイルなどをすべて盗み出し、わずか10ドルで販売している事例が確認されています。

「このマルウェアは様々な方法で拡散され、ブラウザデータ（Cookieや認証情報）、クレジットカード、仮想通貨ウォレットといっ​​た機密情報を標的とします」とグレイ氏は語る。「ハッカーはログをくまなく調べて企業の認証情報を探し出し、許可なくアカウントに侵入する可能性があります。」

2024 年 6 月 7 日午後 1 時 25 分更新: Snowflake からの追加声明を追加しました。

2024 年 6 月 7 日午後 5 時 25 分 (東部標準時) 更新: LendingTree からのコメントを追加し、同社が QuoteWizard データの潜在的な侵害を調査中であることを確認しました。