Last Updated on 2024-06-11 07:09 by admin
Mandiantの調査によると、Snowflakeの顧客アカウントが少なくとも165組織にわたって侵害された。この侵害は、多要素認証(MFA)の実装不足と適切なアクセス管理の欠如が原因である。侵害されたアカウントからはデータが盗まれ、犯罪者によって身代金の要求やサイバー犯罪フォーラムでの販売が試みられた。Mandiantは、この攻撃キャンペーンを行った脅威アクターをUNC5537として追跡しており、以前の情報窃盗キャンペーンから得た有効なアカウント認証情報を使用していることを特定した。
Mandiantの調査では、Snowflakeの企業環境の侵害ではなく、顧客の認証情報の侵害がすべての事件の原因であることが明らかにされた。UNC5537は、スパイトロイの木馬に感染した請負業者のシステムから認証情報を取得し、これらの認証情報はダークウェブを含む複数のソースで販売および無料で入手可能であった。多くの場合、UNC5537がSnowflakeアカウントへのアクセスに使用した認証情報は、少なくとも数年間更新されていなかった。
Mandiantは、MFAの実装がこのキャンペーンでのSnowflakeアカウントの侵害を防げたと評価している。また、Snowflakeが多くの構造化および非構造化データを保存および分析するために使用されるマルチクラウドデータウェアハウスプラットフォームであるため、攻撃者にとって魅力的な標的であったと指摘している。Mandiantは、Snowflake以外の顧客も少なくとも6ヶ月前からUNC5537によって標的にされていたことを特定している。
【ニュース解説】
Snowflakeの顧客アカウントが少なくとも165組織にわたって侵害された事件について、Mandiantの調査結果が公表されました。この侵害は、多要素認証(MFA)の実装不足と適切なアクセス管理の欠如が原因であることが明らかにされています。侵害されたアカウントからはデータが盗まれ、犯罪者によって身代金の要求やサイバー犯罪フォーラムでの販売が試みられました。攻撃キャンペーンを行った脅威アクターはUNC5537として追跡され、以前の情報窃盗キャンペーンから得た有効なアカウント認証情報を使用していることが特定されました。
この事件の背景には、認証情報の侵害が全ての事件の原因であり、Snowflakeの企業環境自体の侵害ではないことが指摘されています。UNC5537は、スパイトロイの木馬に感染した請負業者のシステムから認証情報を取得し、これらの認証情報はダークウェブを含む複数のソースで販売および無料で入手可能であったとのことです。多くの場合、UNC5537がSnowflakeアカウントへのアクセスに使用した認証情報は、少なくとも数年間更新されていなかったと報告されています。
この事件は、組織が直面している認証情報盗難の脅威の大きさと、情報窃盗者の市場の拡大を再び浮き彫りにしました。セキュリティ専門家は、組織がMFAの実装やゼロトラストモデルの使用、信頼できる場所へのアクセスを制限するための許可リストの使用などのベストプラクティスを採用することの重要性について、高まる呼びかけを行っています。
Mandiantは、MFAの実装がこのキャンペーンでのSnowflakeアカウントの侵害を防げたと評価しています。また、Snowflakeが多くの構造化および非構造化データを保存および分析するために使用されるマルチクラウドデータウェアハウスプラットフォームであるため、攻撃者にとって魅力的な標的であったと指摘しています。貴重で機密性の高い情報を含むデータベースは、金銭的な動機を持つアクターにとって魅力的な標的であり、このデータを通じての身代金要求や地下フォーラムでの販売が行われる可能性が高まります。
この事件から学ぶべき教訓は多岐にわたりますが、特にパスワードの管理とMFAの実装の重要性が強調されています。組織は、パスワードの再利用を許可しない、強力なパスワードの生成を容易にする、HaveIBeenPwnedのようなデータベースを監視してユーザーが侵害されたパスワードを使用していないことを確認するなど、パスワードの使用に関する適切な管理を確保する必要があります。さらに、パスワードを超えた複数の保護層の投資、例えばボット防止策の実装や二要素認証の導入も推奨されています。
from Snowflake Cloud Accounts Felled by Rampant Credential Issues.
