Last Updated on 2024-07-17 23:34 by admin
サイバー犯罪者が2024年に大規模なデータ侵害を実行し、クラウドストレージシステムからデータを盗み出し、金銭的な利益を目的とした脅迫を行った。この攻撃は、新しい技術や手法を用いたわけではなく、既に公開されている正規の認証情報を購入または発見し、それを使用してログインすることで行われた。多要素認証(MFA)が設定されていないアカウントでは、有効なユーザー名とパスワードのみでアクセスが可能だった。
2024年5月下旬、UNC5537と追跡される金銭目的の脅威アクターが、クラウドデータウェアハウスプラットフォームSnowflakeを侵害し、TicketmasterとSantanderのデータをサイバー犯罪フォーラムで販売していると主張した。SnowflakeとMandiantの分析によると、個々の顧客アカウントは、盗まれた顧客の認証情報を使用して侵害された。Mandiantによると、この脅威アクターはこれらの露出した認証情報を使用して、約165社のアカウントにアクセスできた可能性がある。
攻撃者は、感染したデバイスからSnowflakeの顧客ユーザーのログイン認証情報を盗むマルウェアであるインフォスティーラーを使用し、顧客アカウントとプラットフォーム上に保存されたデータにアクセスした。また、インフォスティーラーは、個人データ、財務記録、ビジネスインテリジェンスなどの機密顧客情報を盗み出すことができた。
この攻撃キャンペーンの成功と、クラウドストレージプロバイダーに通常利用可能なデータの深さと広さを考えると、同様の認証情報スタッフィングの取り組みが増加すると予想される。組織は、潜在的な露出を避けるために、関連するセキュリティコントロール(パスワードポリシーなど)が可能な限り安全であることを確認する時期である。
【ニュース解説】
2024年に発生した大規模なデータ侵害事件では、サイバー犯罪者がクラウドストレージシステムからデータを盗み出し、金銭的な利益を目的とした脅迫を行いました。この攻撃は、新しい技術や手法を用いるのではなく、既に公開されている正規の認証情報を購入または発見し、それを使用してログインすることで実行されました。特に、多要素認証(MFA)が設定されていないアカウントでは、有効なユーザー名とパスワードのみでアクセスが可能であったため、攻撃者にとっては容易なターゲットとなりました。
この攻撃の背景には、インフォスティーラーと呼ばれるマルウェアが関与しています。インフォスティーラーは、感染したデバイスから機密情報、特にログイン認証情報を盗み出すことを目的としています。この事件では、Snowflakeの顧客ユーザーのログイン情報が盗まれ、それによって攻撃者は顧客アカウントにアクセスし、プラットフォーム上に保存されたデータに手を出すことができました。盗まれた情報には、個人データ、財務記録、ビジネスインテリジェンスなどが含まれており、被害の範囲は広大です。
この事件から学ぶべき重要な教訓は、認証情報の管理と多要素認証(MFA)の重要性です。認証情報が露出してしまうと、それを利用されるリスクが非常に高まります。特に、パスワードが長期間変更されていない場合や、多要素認証が設定されていない場合は、攻撃者にとっては容易なターゲットとなり得ます。したがって、組織や個人は、定期的にパスワードを変更し、可能であれば多要素認証を設定することで、セキュリティを強化する必要があります。
また、この事件は、インフォスティーラーのようなマルウェアによる脅威が増加していることを示しています。これらのマルウェアは、個人や組織のデバイスに侵入し、機密情報を盗み出すことができます。そのため、定期的なセキュリティチェック、ソフトウェアの更新、不審なメールやリンクに対する警戒など、基本的なセキュリティ対策の徹底が求められます。
最後に、このような攻撃は、クラウドサービスの利用が増えるにつれて、今後も増加する可能性があります。そのため、クラウドサービスプロバイダーと利用者双方が、セキュリティ対策を強化し、連携して対策を講じることが重要です。サイバーセキュリティは、常に進化する脅威に対応するために、継続的な努力が必要な分野であることを、この事件は改めて浮き彫りにしています。
from Snowflake Account Attacks Driven by Exposed Legitimate Credentials.
