2024 年 6 月、大手クラウドベースのデータ ストレージおよび分析プロバイダーである Snowflake に関わる重大なデータ侵害が明らかになりました。この事件は多数の有名企業と何百万人もの個人に影響を与え、クラウド環境におけるデータセキュリティに対する懸念を引き起こしました。 Snowflake の侵害は、堅牢なセキュリティ対策の実装、資格情報の定期的な更新、クラウドベースのシステムの厳重な監視の維持など、クラウド環境におけるデータ セキュリティ ソリューションを強化および改善することの重要性を浮き彫りにしました。この記事では、Snowflake の侵害、その影響、および得られた教訓を徹底的に検証します。
スノーフレーク侵害とは何ですか
Snowflake のデータ侵害は、複数の Snowflake 顧客インスタンスに対する一連の標的型攻撃でした。 Snowflake と共同でこの事件を調査していたサイバーセキュリティ会社は、金銭目的の攻撃者グループを特定しました。アクションは UNC5537 として追跡されます.
UNC5537とは
UNC5537 は、Snowflake データベースの顧客をターゲットとする単一の脅威アクター グループに関連する悪意のあるアクティビティを Mandiant が追跡する方法です。これらのサイバー犯罪者は、Snowflake のクラウドベースのデータ ウェアハウス プラットフォームを利用して組織から機密データを盗むことを専門としています。彼らの主な方法は次のとおりです。漏洩した認証情報の悪用インフォスティーラーマルウェアから取得。UNC5537 キャンペーンは重大な脅威をもたらすデータのストレージと管理に Snowflake を利用している組織に。侵害された資格情報を悪用して MFA をバイパスする能力は、強力なパスワードの衛生管理、MFA の実装、不審なアクティビティの継続的な監視など、堅牢なセキュリティ対策の重要性を浮き彫りにしています。
UNC5537 は、盗まれた認証情報と多要素認証 (MFA) が欠如しているアカウントを使用して、Snowflake 顧客インスタンスにアクセスしました。これらの資格情報は主に、Snowflake が所有していないシステムに感染するさまざまな情報窃盗マルウェア キャンペーンを通じて取得されました。盗まれた認証情報の一部は 2020 年に遡り、ログイン情報の侵害による長期的なリスクが浮き彫りになっています。多くの侵害が成功した主な要因は 3 つあります。
- 影響を受けるアカウントに対する多要素認証 (MFA) の欠如
- 数年前に盗まれた古い認証情報の使用
- ネットワークが存在しないため、リストは信頼できる場所へのアクセスを制限できます
Snowflake データベースに入ると、UNC5537 は「rapeflake」という名前のカスタム ツールを使用して偵察を行い、脆弱性を悪用する可能性があります。次に、一連の SQL コマンドを使用して大量のデータを抽出します。データを盗んだ後、脅威アクターは恐喝を行い、被害者に身代金の支払いを要求します。さらに、盗んだデータをサイバー犯罪フォーラムで販売して利益を得ることもよくあります。
注目を集める Snowflake データ侵害の被害者
Snowflake は、いくつかの企業が影響を受けたため、よく知られた事例となりました。チケットマスターのデータ侵害、2024 年に最も重大な侵害の 1 つ。免責事項:この記事が公開された時点では、関連する侵害は確認されていないことに注意することが重要です。
チケットマスター
チケットマスターの親会社であるライブ・ネイションが認めたサードパーティのクラウドデータベース環境への不正アクセス主にチケットマスターのデータが含まれます。この侵害は 5 億 6,000 万人の顧客に影響を与える可能性がありました。
サンタンデール銀行
サンタンデールは、サードパーティプロバイダーがホストするデータベースへの不正アクセスが発生し、約 3,000 万人の顧客に影響を及ぼしたと発表しました。
AT&T
AT&Tは、2022年5月1日から2022年10月31日まで、および2023年1月2日までのほぼすべての携帯電話顧客の通話およびテキストメッセージの記録が侵害されたことを明らかにした。この侵害は約 1 億 1,000 万人の顧客に影響を与えました。
先進の自動車部品
先進の自動車部品は、2024 年 4 月 14 日から 5 月 24 日にかけて、Snowflake 環境への不正アクセスにより 230 万人以上の個人情報が流出したと報告しました。
スノーフレークの反応
Snowflake は、このインシデントは、Snowflake 製品自体に固有の脆弱性や欠陥ではなく、ユーザーの認証情報が侵害されたことに起因すると主張しています。同社は影響を受けた顧客と協力し、詳細な検出と強化のガイダンスを提供してきました。
続きを読む:Facebook データ侵害: 自分が影響を受けているかどうかを知る方法
学んだ教訓とサイバーセキュリティのベストプラクティス
データ侵害が発生するたびに、新たな教訓が得られます。しかし、古い人為的エラーは依然として残り、そのため、攻撃者がその探索に成功する可能性が高まります。Snowflake の侵害は、いくつかの基本的なサイバーセキュリティ ソリューションを適用することの重要性を教えてくれます。データのセキュリティを向上させるために、ユーザーと企業は次のソリューションを使用できます。
多要素認証 (MFA) を有効にする
侵害時の侵入ポイントの 1 つは、MFA メソッドを持たない弱い認証情報でした。 MFA を実装するとセキュリティ層が追加され、アカウント所有者が新しいアクセスを許可する必要があるため、不正アクセスがより困難になります。
定期的な認証情報のローテーション
古い認証情報はサイバー犯罪者によるユーザーのアカウントへのアクセスを容易にし、データ侵害につながりました。これを防ぐには、特に広範な権限を持つアカウントの資格情報を定期的に更新してローテーションします。
不審なアクティビティを監視する
実行されたクエリ、特に外部データ アクセスに関係するクエリや機密情報が漏洩する可能性のあるクエリのログを確認します。
ゼロトラストポリシーを適用する
ネットワーク全体での不正アクセスを防ぐために、スタッフの各人が日常業務を実行するために必要な情報のみにアクセスできるようにすることができます。
![[5修正]制限のためにサインアウトは利用できません](https://elsefix.com/tech/afton/wp-content/uploads/cache/2025/04/fix-sign-out-not-available-restriction-banner-1.jpg)
