1 ポイント 投稿者 GN⁺ 2024-06-01 | 1件のコメント | WhatsAppで共有
  • 2024年5月31日、クラウド企業Snowflakeが大規模なデータ流出を経験
  • ハッカーはインフォスティーラー感染を通じてアクセスしたとHudson Rockに確認
  • ハッカーはTicketmasterやサンタンデール銀行を含む複数の主要企業のデータをロシア語のサイバー犯罪フォーラムで販売

ハッキング手法

  • ハッカーはSnowflake従業員のServiceNowアカウントに、盗まれた認証情報を使ってログイン。
  • OKTAを回避してセッショントークンを生成し、大量のデータを流出させた。
  • ハッカーは約400社が影響を受けたと主張。

追加の証拠

  • ハッカーはSnowflakeサーバーへのアクセス権を示すCSVファイルをHudson Rockの研究者に共有。
  • このファイルには、Snowflakeの欧州サーバーに関連する2,000件以上の顧客インスタンスが記録されている。

ハッカーの目的

  • ハッカーはデータを取り戻したければ2,000万ドルを支払うようSnowflakeに要求。
  • 会社はこれに応答していない。

インフォスティーラー感染の増加

  • インフォスティーラー感染は2018年以降6,000%増加し、主要な初期攻撃ベクターとして定着。
  • これはランサムウェア、データ流出、アカウント乗っ取り、企業スパイ活動などを含むサイバー攻撃の実行に使われている。

GN⁺の見解

  • サイバーセキュリティの重要性: 今回の事件は、企業がサイバーセキュリティにより一層注意を払う必要があることを示している。特に従業員の認証情報管理が重要。
  • インフォスティーラーの脅威: インフォスティーラーは非常に速いペースで拡散しており、企業はこれに対する備えを講じる必要がある。
  • 対応戦略: ハッキング事件が発生した際には、迅速な対応と被害最小化の戦略が必要。Snowflakeの対応の遅れが被害を拡大させた。
  • セキュリティ教育: 従業員へのセキュリティ教育を強化し、認証情報管理やフィッシング攻撃への認識を高めることが重要。
  • 代替ソリューション: Snowflakeと類似の機能を提供する他のクラウドストレージソリューションを検討することもできる。たとえば、AWS S3やGoogle Cloud Storageなど。

1件のコメント

 
GN⁺ 2024-06-01
Hacker Newsのコメント
  • 現在リンクされているURLが /302リダイレクトされる。@dang、下のアーカイブリンクに差し替えたほうがよさそう
    https://web.archive.org/web/20240531140540/https://www.hudso...

    • @dangを呼んでも効果はないので、フッターのメールで連絡したほうがよい
      ただし、Hudson Rockがブログ記事を取り下げたことも興味深いシグナルなので、単にアーカイブリンクに差し替えて終わりにすべきではない。何が変わったのだろうか?
      追記: Snowflakeの公式回答は、元記事の中核的な主張を事実上ほぼすべて否定しているように見える。Hudson Rockが不誠実な情報源にだまされ、ミスに気づいて記事を取り下げた可能性もある
      https://community.snowflake.com/s/question/0D5VI00000Emyl00A...
  • SnowflakeのFelipeです。この件に関するSnowflakeの最新の見解はこちらにあります: https://community.snowflake.com/s/question/0D5VI00000Emyl00A...
    追加情報があれば、このURLを継続的に更新します

    • リンク先が企業的な言い回しで埋め尽くされているので、はっきり確認したい。Hudson Rockの記事は、TicketmasterとSantander Bankの侵害がSnowflake従業員の盗まれた認証情報によって発生したと明示的に主張している
      しかしSnowflakeの「影響を受けた顧客アカウントと同様に、脅威アクターが元Snowflake従業員所有のデモアカウントの個人認証情報を入手し、アクセスした証拠を見つけた。機微なデータはなかった」という文は、SnowflakeがHudson Rockの説明を虚偽と見ている、という意味に読める。この理解で合っているか?
    • Hudson Rockの元記事は、単にある顧客の認証情報が漏れたのではなく、従業員の認証情報が盗まれ、2要素認証がなかったため、そのエンジニアの権限で他の顧客アカウントに入れた、という意味に読める
      一方でSnowflakeの記事は、顧客アカウントの認証情報が流出し、それで終わりであり、中央アカウントや他のアカウントへのアクセスはなかった、というふうに見える。2要素認証のない従業員アカウント情報の使用については何も述べていない
      Snowflakeが社内従業員のすべてのアクセス認証情報に2要素認証を求めているのは明らかだ。以前は、顧客が望めば自分のデータにログインするために名前/パスワードだけを作成し、2要素認証なしでもアクセスできた
    • この記事について直接のコメントは出る予定があるのか?
    • salesforce.comのサーバーが一時的にリクエストに応答できないと表示される。ご不便をおかけして申し訳ない、しばらくしてから再試行してほしい、というメッセージだけが見える
  • チャットログのスクリーンショットが本当に印象的だ。この会社は実際の犯罪者とやり取りしていると主張し、その犯罪者は、この会社を使っていれば侵害を防ぐ助けになったはずだと言っている
    それで、この会社の信頼性についての判断を更新した

    • 純粋な推測だが、ハッカーがSnowflakeに無視されたためHudson Rockに接触し、身代金を払わなかったSnowflakeに報復する目的で、この報道を打ち上げる宣伝機会を提供したように見える
      Hudson Rockはそれに合わせ、実際より大きな侵害であるかのように話を膨らませたようだ。ハッカーが先にHudson Rockへ行ったのか、それとも受け入れた最初の会社がHudson Rockだったのかも気になる
    • あの会話は奇妙で漫画じみている。どう受け止めればいいのかわからない
      「Hudson Rockの保護を買っておくべきだった。そうすれば今回の件は防げたはずだ」
      「その通り、間違いなく役に立ったはずだ」
    • ランサムウェアやみかじめ料の恐喝でよくある婉曲表現だ。Akiraグループが感染したマシンに残すメッセージで気に入っているものは、だいたいこんな感じだ
      「おめでとうございます。貴社は抜き打ちの情報セキュリティ監査に合格し、ランサムウェアの被害者となりました。」
      [...]
      提供内容: 1) 完全な復号支援 2) データ削除の証拠 3) 発見した脆弱性のセキュリティレポート 4) データを公開または販売しない保証 5) 今後攻撃しない保証
      結局のところ、あなたが給与名簿に載せていたとは知らなかったセキュリティコンサルティング会社にすぎない
      ちなみにデータ削除の証拠として何を出すのか見たところ、文字どおり rm -vrf data の標準出力だけだった。不在の証明を提供することは不可能で、被害者に交渉力がないのは理解しているが、この演出はかなり気に入っている
    • スクリーンショットを見ると、これは完全に捏造か、そうでなければ完全にマーケティング目的に見える
      たとえ本物だとしても、Hudson Rockのメッセージは省くのが常識だったはずだ。この会社は頭の中のブラックリストに入れた
    • 暗黙の恐喝のように聞こえる
  • 攻撃者の言い分だけを見ると、Snowflakeは単一の管理者アカウント1つにすべての全権限を与えるような形でシステムを設計していたように見える。
    Snowflakeが5月31日の発表で「一部の顧客に影響を与えた、業界全体にわたるアイデンティティベースの攻撃」を調査中だと述べたことも、TicketmasterとSantanderの話に信ぴょう性を加えている。
    https://community.snowflake.com/s/question/0D5VI00000Emyl00A...
    脅威アクターが適切に動いていたなら、史上最大級のデータ漏えいの1つになっていた可能性もある。

    • 文章が示唆しているのはそういうことだが、誇張されているように思う。残念ながら、盗まれた認証情報の持ち主を特定できるだけの情報が示されており、その人物はセールスエンジニアだ。
      データは、顧客や見込み客向けのデモを作る際に使っていた、その人物のSnowflakeアカウントから出たように見える。顧客が実データの一部をデモに使うようアクセス権を与えていた可能性はあるが、顧客のSnowflakeデータベース自体に無制限にアクセスできたという話とはかなり違う。
      ハッカーが、デモ用の偽物だがそれらしいデータを抜き出し、その違いに気づいていない可能性も十分ある。
    • Hudson Rockがプロセスを知らないまま推測したり、権威があるように見せようとしているのが問題だ。
      1人のセールスエンジニアは複数のアカウントを担当する。Snowflakeのセールスエンジニアは通常、顧客環境の中では構築せず、誰でも作れる400ドル分のクレジット付きデモアカウントをセットアップする。デモアカウントは時間が経つと期限切れになるため、継続的に新しく作る。
      セールスエンジニアは作成したデモアカウント内で構築し、顧客に見せる。30日後、Snowflakeはクレジットカードがなければアカウントをロックし、その後デモインスタンスとデータを削除する。
      作業のために、顧客は自社のSnowflakeインスタンスから、セールスエンジニアが作ったデモインスタンスへデータを共有することもできるし、SSO経由でそのSnowflakeのセールスエンジニアにアクセス権を与えることもできる。
      いずれにせよ、組織側がセキュリティ態勢を十分に制限的に運用していなかった問題に近い。熱心に働いていたセールスエンジニアと、従業員・契約者・ゲストの権限範囲を適切に制限していなかった顧客を見つけたという点以外、新しいところはない攻撃だ。
    • 約1年前にSnowflakeのサポートを受けた経験では、Snowflakeチームが何かを見たり実行したりするには、顧客アカウントの管理者がSnowflakeに明示的にアクセス権を付与する必要があり、記憶ではそのアクセスには有効期限もあった。
    • 脅威アクターが適切に動いていたなら、史上最大のデータ侵害になる可能性が高い。
    • 適切な従業員を狙ったマルウェア・アズ・ア・サービス攻撃1回で、すべてが可能だったという話だ。使われたのはLummaだった。
      興味深いことに、最初のページには東欧のNGOを対象にPegasusが使われたという隣接する話もある。最小権限の原則も重要だが、デバイスのセキュリティも重要だ。
      https://news.ycombinator.com/item?id=40535912
  • Snowflake社員ではないが、Snowflakeとそのセールスエンジニア組織とは多くの時間を一緒に仕事してきた。
    顧客とデモを作る際、セールスエンジニアは誰でも作れる400ドル分のSnowflakeデモアカウントでデモ環境を作る。デモを作るには、顧客がそのセールスエンジニアにアクセス権を与え、セールスエンジニアは一部のデータをデモ環境に持ち込んで作業する。Hudson Rockが公開した環境名もこれを裏付けている。
    私の見方では、データを共有していた人のIDを顧客が失効させておらず、脅威アクターが認証情報を盗んだというプロセス上の問題だ。脆弱性攻撃ではないので、新しいものではない。
    それからHudson Rock、コンピューターにマルウェアがあって被害を受けた人を公然とさらしたこと、おめでとう。契約者に認証情報を渡して、それが盗まれた場合と何も変わらない。かなり悪質な行為だ。

    • 「新しい脆弱性攻撃」ではないからといって、大ごとではないわけではない。
      Snowflakeでは、セールスエンジニアの認証情報が盗まれる可能性があり、その認証情報は多要素認証を回避でき、記事によれば有効期限もない。これはストライク1、2、3だ。
      Snowflakeのセキュリティ慣行は、顧客が広範なデータセットへのアクセス権をSnowflake社員に共有することを求められる、少なくとも促される状況を作っていた。ストライク4だ。
      顧客にも広すぎるアクセス権を付与した責任はあるが、こうしたアクセスが不要になるようなより良いシステムを作らなかった、あるいは少なくともこの推移的なアクセスをより適切に監督・制御できなかった責任はSnowflakeにもある。
      このようなアカウントが顧客データへのアクセス権を受け取った瞬間、もはや「デモアカウント」ではない。実アカウントであり、実際に非常に価値の高いデータを持つアカウントなので、そのように扱うべきだ。
      追記: Snowflakeは、当該デモアカウントは顧客データにアクセスしておらず、漏えいの出所でもないと主張しており、これは攻撃者の主張と矛盾する。
    • 侵害されたアカウントのログイン名に言及したのは、本当に非プロフェッショナルで不要に見える。
    • Hudson Rockの主要製品の1つである「Bayonet」の説明はこうだ。
      「世界中の侵害された企業数十万社と、アクティブな脆弱性を持つ見込み客開拓プラットフォームにアクセスし、それらを顧客に変えられると想像してみてください。」
      この種の会社を何社か見たことも相手にしたこともあるが、かなり低級な戦術で、技術的にも熟練度や努力の水準は低い。
    • Hudson Rockの他の記事をいくつかざっと読んだが、その多くは「うちから保護を買っておくべきだったのに」というような終わり方をしている。みかじめ料ビジネスの匂いがする。
    • ブログ記事全体が極端な自画自賛の匂いを放っており、被害者をさらしたのは本当に最低の行為だ。全体として、Hudson Rockの仕事ぶりは非常にお粗末だ。
  • Snowflakeの公式回答にはこう書かれている
    「これは、顧客データの取得を意図した、業界全体で継続中のアイデンティティベースの攻撃の結果だと見ています。調査によれば、これらの攻撃は、無関係なサイバー脅威活動を通じて露出した顧客のユーザー認証情報を使って実行されています。現時点では、この活動がSnowflake製品内の脆弱性、設定ミス、悪意ある活動によって発生したとは見ていません。」
    [0]https://community.snowflake.com/s/question/0D5VI00000Emyl00A...

  • 記事は非公開にされたようだが、Wayback Machineにはまだ残っている: https://web.archive.org/web/20240531140540/https://www.hudso...

    • 印象はよくない。何か間違っていたのなら、こうした主張や非難をした後には訂正文を出すのが適切だ。説明なしに記事だけ削除するのは無責任でプロらしくない
  • この記事は、数日前のTicketmaster侵害が実際にはSnowflake従業員の盗まれた認証情報を通じて400社以上に影響した、はるかに広範なハッキングだったと主張している
    現時点ではhudsonrock.comだけが報じている大きな話に見える。Hudson Rockは初めて聞いたが、信頼できる情報源かどうか知っている人はいる?

    • Hudson Rockを知ったのは、同社の「CEO」が数か月にわたって、多数の侵害を主張する低品質なブログスパムをセキュリティ関連の各サブレディットにばらまき始めたのがきっかけだった
      複数のアカウントがRedditの運営者や管理者により禁止された。個人的には信頼できる、または信用に足る情報源とは見ていない
    • Santander銀行の相当規模のハッキングについてBBC Newsの報道があり、Snowflakeと関連している
      https://www.bbc.co.uk/news/articles/c6ppv06e3n8o
    • Snowflakeの従業員は自社株を全部売る時間を稼ぐ必要がある。このニュースはSNOW株価に大きな打撃を与えるだろう
  • Snowflakeは自分たちのせいではなく顧客のせいだと言っているように見える
    https://community.snowflake.com/s/question/0D5VI00000Emyl00A...
    https://www.hudsonrock.com/blog/snowflake-massive-breach-acc...が完全な作り話でないなら、Snowflakeは事実をやや不誠実に語っている
    「調査によれば……」という表現は、自社調査なのか一般的なセキュリティ研究なのか曖昧だ。「Snowflake製品内の脆弱性、設定ミス、悪意ある活動が原因とは見ていない」という文言も、あり得るシナリオを列挙して否定しつつ、実際にどう起きたのかは巧妙に省いている
    Hudson Rockを信じるなら、Snowflakeは悪意ある行為者から連絡を受けていたので、どのように発生したのかをかなりよく把握していた可能性が高い

    • 引用された文の中で、どう起きたのかを示唆していないか?
      「無関係なサイバー脅威活動を通じて露出した顧客のユーザー認証情報で実行」されたと言っているので、作り話でないなら、認証情報は別の場所で入手されたと見ているようだ
      最後には顧客にアカウント設定を確認するよう求めているので、責任を自分たちからそらす方向だ。ただし現時点の情報源は、ハッキングされたとされる会社と、この事件を利用して自社製品を宣伝しつつ従業員を厚かましく晒した会社なので、より詳しい情報が出るまで待つべきだろう
    • あるいは、きちんとした深掘り分析なしに顧客側が侵害されたと仮定し、責任をそちらに押し付けたのかもしれない
      ハッカーはリフレッシュトークンすら失効させていなかったと主張しているが、本当なら非常に重大で明白な問題だ
  • 記事は「数百の顧客が侵害」という見出しとあまり整合していないように見える
    第一に、lift/oktaのパスワードはServiceNowポータルへのアクセスを許すだけで、顧客アカウントへのアクセスではないようなので、リフレッシュトークンの問題はServiceNowポータルに限定され、実際の顧客Snowflakeアカウントのデータ露出とは関係ないように見える
    第二に、10社のアカウントが侵害されたというスクリーンショットには、異なるSnowflakeアカウント認証情報が4つ見えており、そのうち1つは個人のデモアカウントのように見える。したがって最大でも3件程度の顧客侵害は説明できるが、他の顧客侵害を示す詳細はない
    セールスエンジニアが担当していた全顧客の全認証情報が侵害されたと仮定しても、侵害された顧客数はおそらく低い2桁だろう。各顧客アカウントがセールスエンジニアに個別にアクセス権を付与している必要があるからだ
    内部Oktaポータルのリフレッシュトークン問題を根拠にSnowflakeの顧客全体が侵害されたと言うのは大きな飛躍であり、その問題はどの顧客のSnowflakeアカウントとも結び付いていない

    • 侵害されたアカウントが正確にどう構成され、どんなアクセス権を与えられていたのか分からなければ判断は難しい。私の知る「セキュリティ重視の大手通信会社」でも、技術系の人員がどの程度のアクセス権を持っているかを見れば驚くだろう。もちろん、すべてのアクセスは記録される
    • ServiceNow内に、別の場所へ横方向移動するために使える認証情報などがあった可能性は十分ある。もちろん推測だ