Pure Storageは、Snowflakeに関連する攻撃の早期被害者として名乗りを上げた：Cybersecurity Dive

Pure Storageは「攻撃によって公開された情報が、顧客システムへのアクセスを得るために使用されることはない」と述べている。

[Matt Kapko，Cybersecurity Dive]

　データストレージベンダーであるPure Storageは2024年6月11日（現地時間、以下同）、自社のセキュリティ速報で（注1）、顧客サポートサービスに使用しているテレメトリーデータを含むSnowflake環境に攻撃者がアクセスしたことを発表した。

　同事案は脅威アクター「UNC5537」によるSnowflakeの顧客データをターゲットとする脅威キャンペーンに関連したものだ。UNC5537はインフォスティーラーマルウェアによって盗まれた資格情報を使用して顧客のSnowflakeインスタンスにアクセスしたとされている。

Snowflake事件の最初の被害者としてPure Storageが名乗り

　Pure Storageは「テレメトリー情報は顧客システムへの不正アクセスに使用できない」と述べている。今回の攻撃で公開された情報には、企業名やLDAP（Lightweight Directory Access Protocol）のユーザー名、電子メールアドレス、Purityソフトウェアのリリースバージョン番号などが含まれている。

　Pure Storageは「ワークスペースへのさらなる不正アクセスをブロックするため、直ちに対策を講じた。Pureのインフラストラクチャの他の要素で異常な動きがあった形跡はない」とも述べている。

　Pure Storageは、Snowflakeの顧客データベースを標的としたアイデンティティーベースの攻撃で影響を受けたことを確認した最初の顧客である（注2）。

　専門家によると、他の企業もSnowflakeに保存された企業情報が盗まれた攻撃に関連しているとされているが、これら具体的な第三者ベンダーの名前は公式には明らかにされていない。一方、Snowflakeは自社の顧客が攻撃の影響を受けたかどうかを特定していない。

　Pure Storageは、侵害に気が付いた時期、攻撃者がシステムに侵入していた期間、データの盗難が発生したかどうかについては明らかにしていない。同社は直ちにコメントできる状態ではなかった。

　Pure Storageは、今回の攻撃で影響を受けた少なくとも100社のSnowflake顧客の1社である（注3）。調査企業であるMandiantが2024年6月10日に発表したところによると、SnowflakeとMandiantは、潜在的な影響を受けている約165社の顧客に通知したという。

　Mandiantによると、この攻撃はSnowflakeのシステムの脆弱（ぜいじゃく）性や設定ミス、違反によって引き起こされたものではない。MandiantとCrowdStrikeによる調査の結果を受けて、Pure Storageは、多要素認証（MFA）で保護されていない顧客システムの認証情報が盗まれたことが原因だと指摘した。

　Mandiantによると、Snowflakeのものではないシステムが複数の情報盗難マルウェアに感染し、盗まれた認証情報が攻撃の入口となった。影響を受けた顧客アカウントには多要素認証が設定されていなかったとのことだ。

　Pure Storageは、攻撃はSnowflakeの単一のデータ分析ワークスペースに限定されており、「データアレイにアクセスできるパスワードや顧客システムに保存されているデータなどの情報が漏えいしたわけではない」と述べている。

　Pure Storageは「攻撃を受けて同社が雇ったとあるサイバーセキュリティ企業によって、初期的な評価が確認された」と述べた。同社は引き続き状況を監視し、詳細が判明次第、適切なタイミングで重要な最新情報を提供する予定だ。

（注1）CVEs Published by Pure Storage（Pure Storage）
（注2）Snowflake customers caught in identity-based attack spree（Cybersecurity Dive）
（注3）100 Snowflake customers attacked, data stolen for extortion（Cybersecurity Dive）

原文へのリンク