Snowflake、顧客の新規アカウントで多要素認証をデフォルト有効化 既存顧客は導入強制せず:Cybersecurity Dive
100以上のSnowflakeの顧客環境を標的とした攻撃から3カ月が経過し、同社は既存顧客による多要素認証の導入を容易にする取り組みを進めている。
セキュリティコントロールを欠く100以上の顧客環境を標的とした攻撃が相次いだことを受け(注1)、クラウドベースのデータウェアハウスベンダーであるSnowflakeは、管理者が全てのユーザーまたは特定のロールに対して、多要素認証(MFA)を要求できるようにする新しいセキュリティポリシーを確立した。
Snowflakeが教訓を生かしてMFAをデフォルト有効化
2024年7月9日(現地時間、以下同)、Snowflakeのブラッド・ジョーンズ氏(最高情報セキュリティ責任者)は、顧客に宛てた書簡の中で「Snowflakeの顧客アカウントが新しく作成された場合、デフォルトでMFAが有効になる」と述べた。
この変更は、攻撃者が「Snowflake」のデモアカウントと顧客環境に侵入してから約3カ月後に適用されたもので、管理者はユーザーごと、またはシステム全体に対して、MFAに関するポリシーを柔軟に設定できるようになる。以前、Snowflakeのユーザーは自らMFAを設定する必要があった。
Snowflakeは、サイバーセキュリティ事業を営むCrowdStrikeとMandiantとの共同調査を完了し、2024年6月に共有した調査結果を再確認した上で、MFAのポリシーを導入した。
「Snowflakeのプラットフォームの脆弱(ぜいじゃく)性や設定ミス、違反によって攻撃が引き起こされたことを示唆する証拠は確認されていない。Snowflakeの環境は引き続き安全だ」(ジョーンズ氏)
CrowdStrikeは、調査概要の中で「Snowflakeの企業資産と製品は侵害されていなかった」と述べている。企業資産と製品には、ビジネス運営を支援するインフラストラクチャや外部向けの製品およびサービスが含まれている。この調査概要は、2024年6月25日にSnowflakeが受け取ったものであり、同年7月9日に公開された。
CrowdStrikeによると、攻撃者が2024年4月17日〜5月24日にかけてアクセスしたデモアカウントは、いかなる本番環境、企業環境、または顧客のSnowflake環境とも関連していなかった。
報告書によると、攻撃者はSnowflakeの元従業員のデモアカウントの認証情報を使用したという。これらの認証情報は情報窃盗のためのマルウェアを介して盗まれた。デモアカウントはMFAやシングルサインオンで保護されていなかった。
CrowdStrikeが元従業員のPCを分析したところ、デバイス上に情報を窃取するマルウェアはは見つからなかった。CrowdStrikeは「このことは、元従業員のデモアカウントの認証情報がSnowflake以外の資産から取得されたことを示している」と述べた。
ジョーンズ氏は「Cybersecurity Dive」に対して電子メールで次のように述べている。
「今回のインシデントは、顧客データを取得する意図で実行された、業界全体に対するアイデンティティーベースの攻撃の結果であると考えている。調査によると、関連性のないサイバー脅威活動を通じて当社の顧客の認証情報を露出させた上で今回の攻撃が実行されたとされている」(ジョーンズ氏)
CrowdStrikeは、攻撃者が侵害されたデモアカウントを経由して、Snowflakeの顧客アカウント、Snowflakeの本番環境および企業環境にアクセスできなかったことを確認した。
Mandiantは、顧客に影響を与える広範なキャンペーンについて、2024年5月22日にSnowflakeに最初の通知を実施した。その後、Snowflakeは、同年5月24日に元従業員のアカウントを無効にした。
Mandiantは2024年6月10日、Snowflakeの顧客環境を標的とした攻撃に関する調査を完了し(注2)、調査結果を公表した。
管理者向けに権限のチェックを確認できる機能を追加
SnowflakeのMFAに関するポリシーは、広く使われているプラットフォームにテクノロジーベンダーが大幅な変更を加える際に直面する課題を反映している。
Snowflakeの既存顧客のアカウントの管理者は、依然としてMFAを導入しない選択もできる。同社の直近の四半期は2024年4月30日に終了した。終了時点の顧客数は9822社である。
同社は、MFAを採用するよう既存の顧客を説得するための追加措置を講じている。
MFAを設定していない状態でSnowflakeにログインしたユーザーは、セキュリティコントロールを有効にするよう促され、設定手順の案内を受ける。同社は「このダイアログを無視することもできるが、MFAが設定されていない場合は3日後に再び表示される」と述べている。
また、Snowflakeは「Snowflake Trust Center」を立ち上げ、管理者がMFAを強制したり、セキュリティベンチマークに照らし合わせてアカウントをチェックしたり、ユーザーがセキュリティポリシーを順守しているかどうかを可視化したりできるようにした。
Snowflakeが2024年7月9日に発表したスキャナーは、過剰な特権を持つエンティティの検出、MFAコンプライアンスとネットワークポリシーの決定、顧客の環境におけるその他の潜在的なセキュリティリスクを検出し、認証情報の盗難リスクを軽減するように設計されている。
(注1)What we know about the Snowflake customer attacks(Cybersecurity Dive)
(注2)100 Snowflake customers attacked, data stolen for extortion(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
なぜ多機能な製品は、セキュリティ的に“ダメ”なのか
昨今のサイバー攻撃の多くは電子メールやWeb経由ではなく、VPN機器の脆弱性がきっかけとなっています。これを防ぐにはアップデートの適用が非常に重要ですが、それを阻むのが製品「多機能化」だと筆者は主張します。一体どういうことでしょうか。
日清食品グループの“やりすぎ”なぐらいのセキュリティ対策――キーパーソンが語る10年の歩み
セキュリティ対策を前に進めるには先進企業の事例から学ぶのが近道だ。日清食品グループのセキュリティを統括するキーパーソンに、10年間にわたるITやセキュリティ対策の歩みを聞いた。
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
freeeのCISO茂岩祐樹氏が大いに語る セキュリティの事業貢献は「大変だし怖い」
セキュリティの重要性が経営層にうまく伝わらないと悩む担当者は多いことだろう。セキュリティが事業に貢献するにはどうすればいいのか。元DeNAで現フリーのCISOを務める茂岩祐樹氏がポイントを語った。