Snowflakeのデータが狙われる データを盗まれたアカウントの特徴：セキュリティニュースアラート

Snowflakeユーザーの情報を標的とした脅威キャンペーンの存在が明らかになった。侵害されたアカウントの特徴は。

[後藤大地，ITmedia]

　米国のセキュリティベンダーであるMandiantは2024年6月11日（現地時間）、データクラウドサービスを提供するSnowflakeの顧客データをターゲットとする脅威キャンペーンを特定したと報告した。

狙われたSnowflakeの顧客データ　侵害されたアカウントの特徴は？

　今回明らかになった脅威キャンペーンには金銭を目的にデータ窃取と恐喝をもくろむ脅威アクター「UNC5537」が関与しているとみられている。脅威アクターの具体的な手口と、同キャンペーンへの対応策は何か。

　Mandiantによると、UNC5537の攻撃は全て侵害された顧客の認証情報に起因するものだという。攻撃者は以前インフォスティーラーマルウェアによって盗まれた資格情報を使用して顧客のSnowflakeインスタンスにアクセスしている。

　UNC5537は北米とトルコのメンバーから構成されており、データを窃取する際はモルドバのVPSシステムを使用していた。

　Mandiantは、この脅威キャンペーンで侵害が「成功」した要因として次の3点を挙げる。

• 影響を受けたアカウントでは多要素認証が有効になっていなかった
• 盗まれた資格情報はローテーションされておらず、長期間同じものが使われていた
• 侵害されたSnowflakeインスタンスには、信頼できる場所からのアクセスのみを許可するネットワーク許可リストが設定されていなかった

　使用されたSnowflakeの顧客認証情報は「VIDAR」や「RISEPRO」「REDLINE」「RACOON STEALER」LUMMA」METASTEALER」などのインフォスティーラーマルウェアによって窃取されたとみられている。

　Snowflakeインスタンスへの最初のアクセスには「Windows Server 2022」で実行されるネイティブのWebベースUI（SnowFlake UI、別名SnowSight）やCLIツール（SnowSQL）が使われており、独自ユーティリティー「rapeflake」を使用して偵察活動を実施していたことも確認されている。

　UNC5537は主にMullvadまたはPrivate Internet Access（PIA）VPN IPアドレスを使用してSnowflakeインスタンスにアクセスしている。

　データを盗み出す際はモルドバのプロバイダーであるALEXHOST SRLのVPSシステムを使用していたとされている。

　Mandiantは、「UNC5537のサイバー攻撃はインフォスティーラー市場で流通している認証情報の影響を浮き彫りにしている」とし、脅威アクターが同様のSaaSプラットフォームを標的にする可能性があると警告している。企業はセキュリティリスクへの対策を強化することが求められている。