Snowflakeのデータが狙われる データを盗まれたアカウントの特徴セキュリティニュースアラート

Snowflakeユーザーの情報を標的とした脅威キャンペーンの存在が明らかになった。侵害されたアカウントの特徴は。

» 2024年06月13日 07時00分 公開
[後藤大地ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 米国のセキュリティベンダーであるMandiantは2024年6月11日(現地時間)、データクラウドサービスを提供するSnowflakeの顧客データをターゲットとする脅威キャンペーンを特定したと報告した。

狙われたSnowflakeの顧客データ 侵害されたアカウントの特徴は?

 今回明らかになった脅威キャンペーンには金銭を目的にデータ窃取と恐喝をもくろむ脅威アクター「UNC5537」が関与しているとみられている。脅威アクターの具体的な手口と、同キャンペーンへの対応策は何か。

 Mandiantによると、UNC5537の攻撃は全て侵害された顧客の認証情報に起因するものだという。攻撃者は以前インフォスティーラーマルウェアによって盗まれた資格情報を使用して顧客のSnowflakeインスタンスにアクセスしている。

 UNC5537は北米とトルコのメンバーから構成されており、データを窃取する際はモルドバのVPSシステムを使用していた。

 Mandiantは、この脅威キャンペーンで侵害が「成功」した要因として次の3点を挙げる。

  • 影響を受けたアカウントでは多要素認証が有効になっていなかった
  • 盗まれた資格情報はローテーションされておらず、長期間同じものが使われていた
  • 侵害されたSnowflakeインスタンスには、信頼できる場所からのアクセスのみを許可するネットワーク許可リストが設定されていなかった

 使用されたSnowflakeの顧客認証情報は「VIDAR」や「RISEPRO」「REDLINE」「RACOON STEALER」LUMMA」METASTEALER」などのインフォスティーラーマルウェアによって窃取されたとみられている。

 Snowflakeインスタンスへの最初のアクセスには「Windows Server 2022」で実行されるネイティブのWebベースUI(SnowFlake UI、別名SnowSight)やCLIツール(SnowSQL)が使われており、独自ユーティリティー「rapeflake」を使用して偵察活動を実施していたことも確認されている。

 UNC5537は主にMullvadまたはPrivate Internet Access(PIA)VPN IPアドレスを使用してSnowflakeインスタンスにアクセスしている。

 データを盗み出す際はモルドバのプロバイダーであるALEXHOST SRLのVPSシステムを使用していたとされている。

 Mandiantは、「UNC5537のサイバー攻撃はインフォスティーラー市場で流通している認証情報の影響を浮き彫りにしている」とし、脅威アクターが同様のSaaSプラットフォームを標的にする可能性があると警告している。企業はセキュリティリスクへの対策を強化することが求められている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

あなたにおすすめの記事PR