Snowflakeへの攻撃は、顧客の多要素認証の未設定から起きていた 責任を負うのは誰か？：Cybersecurity Dive

Snowflakeの顧客環境を狙った一連のアイデンティティーベースの攻撃は、全ての被害企業が多要素認証（MFA）を設定していなかったことに起因していた。ベンダーはMFAを選択肢として与えるのではなく強制すべきなのか。

[Matt Kapko，Cybersecurity Dive]

　Snowflakeのデータベースが攻撃を受けて、少なくとも100社の顧客が影響を受けた（注1）。それらの顧客の全てにおいて多要素認証（MFA）が設定されていなかったことは、クラウド領域における責任の所在の不透明さを際立たせている。

MFAを強制しないのが悪い？　事件の責任を負うのは誰か

　Snowflakeは2024年5月30日（現地時間、以下同）、顧客の環境を狙った一連のアイデンティティーベースの攻撃を公表した（注2）。その際、同社は責任の大半をMFAを使用せず認証情報を流出させた顧客に負わせた。同社は、デフォルトでMFAを強制しているわけでもなければ、顧客に同技術の使用を義務付けているわけでもない。

　MFAをサービスに組み込みデフォルトで有効にすることは、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が提案するセキュア・バイ・デザインの原則の要だ。

　2023年4月にCISAはこの取り組みを発表した（注3）。2024年5月には数十社の大手テクノロジー企業が、今後1年間で安全な開発プラクティスを採用することについての自発的な取り組みを発表した（注4）。セキュア・バイ・デザインについて、現在までに140社が署名しているが（注5）、Snowflakeは含まれていない。

　セキュリティ企業Sophosのチェスター・ウィスニエフスキ氏（ディレクター兼最高技術責任者）は「セキュア・バイ・デザインに関する誓約というアイデアがあること自体がおかしな話だ。これは、企業が正しいことをしていないために存在している。選択肢を与えられた人々は、間違った選択をし続けるだろう。セキュリティの最低基準は引き上げられるべきだ」と述べた。

SnowflakeはMFAの導入を顧客判断に委ねている

　Snowflakeによると、顧客データベースへの攻撃は、同社のシステムの脆弱（ぜいじゃく）性や設定ミス、違反によって引き起こされたものではない。同社のインシデントレスポンス企業であるMandiantおよびCrowdStrikeによると、原因はむしろ、MFAで保護されていない顧客システムに対して、攻撃者が盗んだ認証情報を使用したことにあるという。

　SnowflakeのMFAに対するアプローチに関連して、IT管理者の対応には限界がある。Snowflakeが管理する「Cisco Duo」のインスタンスは顧客が利用できる唯一のMFAソリューションだ。MFAサポートページによると（注6）、同社は管理者が特定のロールにMFAを強制することを許可していない。

　サイバーセキュリティ事業を営むMitigaのオフェル・マオル氏（共同設立者兼最高技術責任者）は、電子メールで次のように述べた。

　「Snowflakeは、MFAを導入するかどうかの判断を各ユーザーに委ねている。他のベンダーもMFAなしでシステムを開始する選択肢こそ提供しているが、システムが企業向けに展開される場合、大半のベンダーは管理者によるMFAの強制を促している」

　2024年6月3日の週、Snowflakeとその顧客に対する圧力が高まる中（注7）、同社のブラッド・ジョーンズ氏（最高情報セキュリティ責任者）は「顧客にMFAやネットワークポリシーなどの高度なセキュリティ管理の導入を求める計画を策定中である」と述べた。

　しかし、その計画の詳細は明確にされておらず、Snowflakeが顧客に要求する具体的な内容や、プラットフォーム全体でデフォルトでMFAを有効にするかどうかなどは明らかにされていない。Snowflakeは、セキュリティ改善計画に関する追加情報の要求には応じなかった。

「選択肢があると、大半の組織は正しい方を選ばない」　MFAは強制すべきか？

　サイバーセキュリティの専門家は、Snowflakeの立場の利点を認めている。根底には、ベンダーが基盤となるインフラを保護し、顧客が適切な設定と管理でデータを保護するというクラウド分野の責任共有モデルがあるのだ。しかし、多くの専門家はMFAを基本的なコントロールと位置付け、企業インフラへのアクセスを強化し、攻撃の阻止に重要な影響を与えると述べている。

　「組織に安全な選択をするかどうかの選択肢を与えると、多くの場合、大半の組織は正しい選択をしない。私たちは、引き続き人々に自分で自分の足を撃つことを許可すべきだろうか。セキュリティの専門家としての立場から、私は直感的に『いいえ』と言いたい。自分を傷つける選択肢を取り除くべきだ。正しいことをする選択肢を与えても、正しい選択をしないというのであれば、それはもはや選択肢であるべきではない」（ウィスニエフスキ氏）

　厳格なルールがなければ、責任のバランスを取るのは難しい。

　サイバーセキュリティ事業を営むCybleのカウストブ・メデ氏（リサーチと脅威インテリジェンスを担当するバイスプレジデント）によると、テクノロジーベンダーに過剰な責任を負わせることは、全ての利害関係者がセキュリティを維持する上で負うべき連帯責任を軽減する過剰な修正になりかねないという。

　Gartnerのチャーリー・ウィンクレス氏（アナリスト）は「特にリスクの高いシナリオにおいて、一部のクラウドプロバイダーはMFAに対して慎重なアプローチを取り入れており、サービスをデフォルトで便利なものにするのではなく、安全なものにすることを受け入れている」と述べた。

　「このようなモデルにおける責任および説明責任はクライアントにあるが、プロバイダーは便利さや速度ではなく、セキュリティに重点を置いている。これにより、クライアントがより責任ある行動を取るのを支援している。プロバイダーはデフォルトで安全性を提供し、セキュリティの専門家でないクライアントに対して、自分たちが負っているリスクを理解できるように支援し、信頼性を向上させるのだ」（ウィンクレス氏）

　セキュリティ管理に対する最低限の期待は急速に変化している。残念なことに、MFAを導入していない企業のシステムで使用する認証情報は、攻撃者の格好の標的だ。

　2024年6月にMandiantが脅威インテリジェンスレポートで述べたところによると、2023年には、最初のアクセスベクトルが特定されたランサムウェア攻撃の約40％で、攻撃者は侵害された正規の認証情報を使用して被害者の環境にアクセスしていた（注8）。

　「私たちは2006年に生きているわけではない。非常に機密性の高い情報を保存する場合、利便性を妨げてでも安全のために“スピードバンプ”を用意する必要があるだろう」（ウィスニエフスキ氏）

（注1）100 Snowflake customers attacked, data stolen for extortion（Cybersecurity Dive）
（注2）Snowflake customers caught in identity-based attack spree（Cybersecurity Dive）
（注3）CISA, partner agencies unveil secure by design principles in historic shift of software security（Cybersecurity Dive）
（注4）68 tech, security vendors commit to secure-by-design practices（Cybersecurity Dive）
（注5）Secure by Design Pledge（CISA）
（注6）KNOWLEDGE BASE ARTICLES（community.snowflake）
（注7）Pressure mounts on Snowflake and its customers as attacks spread（Cybersecurity Dive）
（注8）CVE exploits, stolen credentials fueled ransomware surge in 2023（Cybersecurity Dive）

原文へのリンク