Last Updated on 2024-06-05 14:03 by 荒木 啓介
TicketmasterとSantander Bankは、第三者のクラウドストレージサービス上のデータへの不適切なセキュリティ対策により、大規模なデータ侵害に遭遇した。Ticketmasterの親会社であるLive Nation Entertainmentは、5月20日に第三者のクラウドストレージプロバイダーがホストするデータベースが侵害されたと報告し、約5億5000万人の顧客データがダークウェブフォーラムで販売されていることが明らかになった。Santander Bankは、従業員と顧客のデータを含むデータベースが不正アクセスされたと発表し、主にスペイン、チリ、ウルグアイの顧客が影響を受けた。
多くのセキュリティアナリストは、侵害されたクラウドサービスプロバイダーとしてSnowflakeを特定している。Snowflakeは、MasterCard、Honeywell、Disney、Albertsons、JetBlueなどの大手ブランドを顧客に持つ。Snowflakeは、顧客アカウントを狙った悪意のある活動が最近発生していることを認めているが、どの顧客が影響を受けたかは明らかにしていない。Snowflakeのプラットフォームの脆弱性や誤設定、侵害の証拠は見つかっておらず、攻撃はシングルファクター認証を使用するユーザーを狙った広範なキャンペーンの一部であると述べている。
これらの事件は、企業がクラウドアプリケーション環境内のデータへの不正アクセスから保護するために、多要素認証(MFA)、IP制限などのメカニズムを実装する必要性を浮き彫りにしている。しかし、攻撃者はMFAを完全に迂回するポスト認証攻撃に increasingly focusingしており、ユーザー認証情報を盗むことができない攻撃者は、認証の証明を盗むことに移行するため、SaaSアプリケーションにはセッショントークンバインディングなどのセキュリティメカニズムが不可欠である。クラウドセキュリティの共有責任モデルの下では、クラウドベンダーと顧客は通常、アイデンティティとアクセス管理(IAM)およびMFAの実施について責任を分担しているが、リスクを軽減するためには顧客がプロバイダーのベストプラクティス、設定、実装ガイドラインに従うことが最終的に重要である。
【ニュース解説】
TicketmasterとSantander Bankが大規模なデータ侵害に遭遇した事件は、クラウドストレージサービス上のデータを適切に保護することの重要性を改めて浮き彫りにしました。これらの侵害は、第三者のクラウドサービスプロバイダーであるSnowflakeがホストするデータベースから不正にアクセスされた結果発生しました。Ticketmasterの場合、約5億5000万人の顧客データがダークウェブで販売される事態に至り、Santander Bankでは約3000万人の顧客データが盗まれました。
この事件は、多要素認証(MFA)やIP制限などの基本的なセキュリティ対策がいかに重要であるかを示しています。しかし、攻撃者はこれらの対策を迂回する方法を見つけ出し、認証後の攻撃に焦点を当てています。これにより、セッショントークンバインディングのような追加のセキュリティメカニズムが必要とされます。
クラウドセキュリティの共有責任モデルでは、クラウドサービスプロバイダーと顧客がセキュリティ対策の実施において共同で責任を持ちます。しかし、最終的には顧客がプロバイダーの提供するベストプラクティスやガイドラインに従うことが重要です。この事件は、企業がクラウドサービスを利用する際に、セキュリティ対策を怠ることのリスクを示しています。
このようなデータ侵害事件は、企業にとって重大な損害をもたらす可能性があります。顧客データの漏洩は、顧客の信頼を失うだけでなく、規制当局からの罰金や訴訟を招くこともあります。そのため、企業はクラウドサービスを利用する際に、セキュリティ対策を強化し、定期的に見直すことが求められます。
また、この事件はクラウドサービスプロバイダーに対しても、セキュリティ対策の強化と顧客へのセキュリティ意識の啓発を促すものです。プロバイダーは、MFAのようなセキュリティ機能をデフォルトで提供することや、顧客がセキュリティベストプラクティスを遵守するための支援を行うことが重要です。
最終的に、この事件は、クラウドサービスの利用が増えるにつれて、企業が直面するセキュリティリスクが高まっていることを示しています。企業は、クラウドサービスを安全に利用するために、セキュリティ対策を常に最前線で考慮し、実装する必要があります。
from Ticketmaster Breach Showcases SaaS Data Security Risks.
