Snowflakeのデータ流出:ハッカーがインフォスティーラー感染を通じたアクセスを確認

 (hudsonrock.com)
1 ポイント 投稿者 GN⁺ 2024-06-01 | 1件のコメント | WhatsAppで共有
  • 2024年5月31日、クラウド企業Snowflakeが大規模なデータ流出を経験
  • ハッカーはインフォスティーラー感染を通じてアクセスしたとHudson Rockに確認
  • ハッカーはTicketmasterやサンタンデール銀行を含む複数の主要企業のデータをロシア語のサイバー犯罪フォーラムで販売

ハッキング手法

  • ハッカーはSnowflake従業員のServiceNowアカウントに、盗まれた認証情報を使ってログイン。
  • OKTAを回避してセッショントークンを生成し、大量のデータを流出させた。
  • ハッカーは約400社が影響を受けたと主張。

追加の証拠

  • ハッカーはSnowflakeサーバーへのアクセス権を示すCSVファイルをHudson Rockの研究者に共有。
  • このファイルには、Snowflakeの欧州サーバーに関連する2,000件以上の顧客インスタンスが記録されている。

ハッカーの目的

  • ハッカーはデータを取り戻したければ2,000万ドルを支払うようSnowflakeに要求。
  • 会社はこれに応答していない。

インフォスティーラー感染の増加

  • インフォスティーラー感染は2018年以降6,000%増加し、主要な初期攻撃ベクターとして定着。
  • これはランサムウェア、データ流出、アカウント乗っ取り、企業スパイ活動などを含むサイバー攻撃の実行に使われている。

GN⁺の見解

  • サイバーセキュリティの重要性: 今回の事件は、企業がサイバーセキュリティにより一層注意を払う必要があることを示している。特に従業員の認証情報管理が重要。
  • インフォスティーラーの脅威: インフォスティーラーは非常に速いペースで拡散しており、企業はこれに対する備えを講じる必要がある。
  • 対応戦略: ハッキング事件が発生した際には、迅速な対応と被害最小化の戦略が必要。Snowflakeの対応の遅れが被害を拡大させた。
  • セキュリティ教育: 従業員へのセキュリティ教育を強化し、認証情報管理やフィッシング攻撃への認識を高めることが重要。
  • 代替ソリューション: Snowflakeと類似の機能を提供する他のクラウドストレージソリューションを検討することもできる。たとえば、AWS S3やGoogle Cloud Storageなど。

関連記事

1件のコメント

 
GN⁺ 2024-06-01
Hacker Newsの意見
  • Snowflake と連携する過程で、SE(ソリューションエンジニア)がデモ環境を設定し、クライアントデータを使用していた。クライアントが ID の失効を管理していなかったために発生した問題のようだ。
  • 記事の見出しと内容が一致していない。顧客データ流出とは無関係の問題に見え、実際に侵害された顧客数は少ない。
  • Snowflake の Felipe が問題に関する最新情報を共有している。リンクから更新内容を確認できる。
  • チャットログのスクリーンショットが印象的だ。犯罪者がこの会社とやり取りしており、会社の助けによって侵害を防げたと主張している。
  • Snowflake のシステムは、単一の管理者アカウントであらゆるアクセスを許可する形で設計されているように見える。これは Ticketmaster と Santander の件の信憑性を高めている。
  • Snowflake は、問題は顧客側の過失によって発生したと主張している。調査結果では、Snowflake 製品の脆弱性や設定ミスが原因ではないことが強調されている。
  • Snowflake の公式回答によれば、今回の件は顧客のユーザー認証情報が漏えいしたことに関連している。Snowflake 製品自体の問題ではない。
  • Ticketmaster の侵害が、Snowflake 従業員の認証情報の窃取によって 400 社以上に影響したという主張。Hudson Rock の信頼性に疑問が呈されている。
  • 脅威アクターが Snowflake 従業員の ServiceNow アカウントを乗っ取り、OKTA を回避したと説明されている。ServiceNow の役割と重要性について説明を求める声がある。
  • Snowflake 従業員の認証情報を盗むことで顧客データにアクセスできるという点に疑問が呈されている。Snowflake のデータセキュリティには高い期待がある。