Snowflake「サイバー攻撃の責任は顧客にある」 強気の主張の背景にあるもの:Cybersecurity Dive
Snowflakeは2024年4月に100以上の顧客環境を襲った一連のサイバー攻撃について「責任は当社ではなく顧客にある」と主張している。強気の姿勢の裏にはどのような主張があるのだろうか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Snowflakeは、2024年4月に100以上の顧客環境を襲った一連のサイバー攻撃から再び距離を置こうとした(注1)。同社は「セキュリティの責任は当社ではなく顧客にある」と述べた。
「責任は顧客にある」 サイバー攻撃被害に遭ったSnowflakeの主張
2024年8月21日(現地時間、以下同)、Snowflakeのスリダール・ラマスワミ氏(CEO)は、同年7月31日に終了する四半期に関する決算説明会で次のように述べた。
「大々的に報道されたように、この問題の原因はSnowflakeの側にはなかった。内部および外部のサイバーセキュリティ専門家による複数の調査の結果、私たちのプラットフォームが侵害されたり、侵入されたりした証拠は見つからなかった。しかし、全ての関係者が協力してサイバーセキュリティの問題に取り組む必要があることは理解している」
Snowflakeのマイケル・スカーペリ氏(最高財務責任者)は2024年8月21日の電話会見で「本四半期において、Snowflakeの消費に対する攻撃の影響はなかった」と述べた。また、Snowflakeの顧客に対する一連の攻撃が同社の業績に影響を与えたという兆候もない。
顧客に対する攻撃への対応と、クラウドセキュリティの責任に関するSnowflakeのメッセージは一貫しており、同社は「責任は顧客にある」と述べている。
ラマスワミ氏は、電話会見で「Snowflakeが今回の攻撃について、やや控えめな姿勢を崩していない理由の一つは、当社が攻撃により直接的な影響を受けたわけではないためだ」と語った。
「侵害されたのは当社の顧客である。私たちは顧客と緊密に連携し、顧客が直面している困難な状況から抜け出せるように支援したい。新規顧客との契約や既存顧客の新規プロジェクト立ち上げに目立った影響や遅れはない。私たちはセキュリティについてより積極的に話し合う必要がある」(ラマスワミ氏)
多要素認証(MFA)を導入していなかった顧客環境が攻撃を受けてから3カ月後、Snowflakeは2024年7月に新しいポリシーを策定し(注2)、全てのユーザーまたは特定の役割を持つユーザーに対して、管理者がMFAの導入を強制できるようにした。
MFAは現在、新しく作成された全ての顧客アカウントにおいてデフォルトで有効になっているが、既存の顧客の場合、セキュリティコントロールはオプションとして提供された状態のままだ。
調査企業であるGartnerのカテル・ティーレマン氏(バイスプレジデント兼アナリスト)は、電子メールで次のように述べた。
「残念ながら、このような状況は混乱したサイバーセキュリティ市場を象徴している。多くのCISO(最高情報セキュリティ責任者)はセキュリティを購入できると考えているが、サイバーセキュリティベンダーが販売するのはツールのみである。後になって、セキュリティの姿勢に関する決定権が共有されたわけではないと気付くのだ」(ティーレマン氏)
MFAに関するSnowflakeのポリシーは、広く使われているプラットフォームに大幅な変更を加える際に、テクノロジーベンダーが直面する課題を反映している。同社は責任共有モデルを採用しており、Snowflakeのプラットフォームへのアクセスに関連する認証情報の作成と保護については、顧客が完全な責任を負う。
Snowflakeの顧客のデータベースに対する攻撃の急増は、クラウド市場の責任共有の現状を試すことになった(注3)。
「多くのCISOは責任共有モデルに同意したつもりでいるが、実際にはどのベンダーにもセキュリティの責任を委ねることはできない」(ティーレマン氏)
サービスにMFAをデフォルトで組み込むことは、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の「セキュア・バイ・デザイン」の原則における中核的な内容だ(注4)。CISAのセキュア・バイ・デザインに関する誓約に署名し(注5)、今後1年間で安全な開発手法を採用することを自主的に約束した約200社のうちの1社がSnowflakeである。
Snowflakeの2025年度第2四半期の売上高は前年同期比29%増の約8億6900万ドルだった(注6)。同社は、顧客への攻撃による財務上の影響はないと報告したが、損失は前年同期の約2億2700万ドルから約3億1700万ドルに拡大した。
(注1)100 Snowflake customers attacked, data stolen for extortion(Cybersecurity Dive)
(注2)Snowflake allows admins to enforce MFA as breach investigations conclude(Cybersecurity Dive)
(注3)Snowflake-linked attacks are testing the cloud’s shared responsibility status quo(Cybersecurity Dive)
(注4)CISA, partner agencies unveil secure by design principles in historic shift of software security(Cybersecurity Dive)
(注5)Secure by Design Pledge Signers(CISA)
(注6)SNOWFLAKE INC.(SEC)
関連記事
やっぱり安全を求めるなら「C」や「C++」ではなく「Rust」 Androidが取り組みを紹介
GoogleのAndroidチームはファームウェアのセキュリティを高めるためにメモリセーフなプログラミング言語であるRustの導入を紹介した。具体的にはどう活用しているのだろうか。
ランサムウェア身代金、支払うべきか、支払わないべきか 最新事情から考える
ランサムウェア対応においては「身代金を支払うべきかどうか」がしばしば議論に上ります。支払いの是非については、それぞれの主張があるため甲乙つけがたいですが、調査から攻撃者側の最新事情も見えてきたので紹介したいと思います。
サイバー攻撃への対処はいくらかかる? 損害項目と金額をまとめてみた
ランサムウェア攻撃では多額の金銭的な損害が発生するが、具体的にどのくらいの金額なのか、と聞かれると答えに窮するだろう。この難しい問いに答える画期的なレポートの作成者たちに公開の背景や意図、具体的な損害額などを聞いた。
半田病院を襲ったランサムウェア被害 当時者が語る「生々しい被害実態」と「教訓」
2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムが停止し、プリンタからは犯行声明が印刷された。のちに世間を大きく注目されることになるランサムウェア被害から同院はどう復旧したのか。生々しい実態を当事者が語った。
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ソニー、AWSのAI基盤で推論処理300倍増へ ファンエンゲージメントはどう変わる?
- Microsoft 365の値上げが訴訟 Copilotの抱き合わせ販売問題が再燃
ITmediaはアイティメディア株式会社の登録商標です。