サンタンデール銀行とチケットマスターの大規模侵害、Snowflakeアカウントのハッキングが原因となった可能性
BleepingComputer, CronUp Ciberseguridad
5月に明らかになった、スペイン最大の銀行「サンタンデール銀行」と世界最大のプレイガイド「チケットマスター」のデータ侵害。両者の盗難データとされるものは、ハッカーフォーラムBreachForumsなどで売りに出された。そのデータ規模の大きさや、最近テイクダウンされたばかりのBreachForumsが復活して販売の場として使われたこと、また販売者が同フォーラムの運営者「ShinyHunters」であることなどから、このインシデントは大きな注目を集めている。さらに、侵害原因になったと憶されているクラウド事業者Snowflakeをめぐっても今週末に新たな報道・声明がリリースされており、「サプライチェーン攻撃」と表現するメディアも。本記事では、両インシデントの概要やタイムライン、侵害原因に関する報道などを簡単にまとめる。
タイムライン
- 2024年5月10日、サンタンデール銀行チリ法人(バンコ・サンタンデール・チリ)がチリ金融市場委員会(CMF)に、スペイン本社に端を発するデータ侵害インシデントを報告。
- 5月14日、CMFがインシデントについて一般開示。同行のチリ、ウルグアイ、およびスペイン法人の顧客・従業員が影響を受けることが明らかに。
- 5月16日、BreachForumsがテイクダウンされる。
- 5月20日、ライブネーション(チケットマスター親会社)が米国証券取引委員会(SEC)にデータ侵害レポートを提出。同日にチケットマスターの企業データを含むサードパーティのクラウドデータベース環境内で不正なアクティビティを特定し、調査を開始したことなどを報告。
- 5月24日、ロシア語ハッキングフォーラム「Exploit」で「サンタンデール銀行のデータ」とされるものが売りに出される。なお、この投稿にBreachForumsやShinyHuntersへの言及はなかったという。
- 5月25日、同じくフォーラムExploitで、「チケットマスターのユーザー5億6千万人 + カード情報」とされるデータが売りに出される。この投稿についても、BreachForumsやShinyHuntersへの言及はなし。
- 5月28日、BreachForumsの復活が報じられる。
- 同日、ShinyHuntersがBreachForums上で「チケットマスターのユーザー5億6千万人 + カード情報」とされるデータを販売開始。Exploitの投稿はその後削除される。
- 5月30日、ShinyHuntersがBreachForums上で「サンタンデール銀行のデータ」とされるものの販売を開始。Exploitの投稿はその後削除される。
- 5月31日、ライブネーションがSECへ提出した報告書が一般開示され、同社がデータ侵害について認めていることが明らかに。
- 同日、サイバーセキュリティ企業Hudson Rockがレポートを公開。サンタンデール銀行とチケットマスターの侵害は、「クラウドストレージ企業Snowflakeの従業員アカウントがハッキングされたことによって発生した」と報告。ただし、同社はその後6月1日までにレポートを取り下げ。
- 6月2日、SnowflakeがCrowdStrikeおよびMandiantと共同声明を公開。同社の顧客アカウントに対する「標的型の脅威キャンペーン」に関する進行中の調査結果を報告。侵害された従業員アカウントがこのキャンペーンで使われた形跡はないと伝える。
大規模なデータ侵害
サンタンデール銀行とチケットマスター、いずれの侵害についてもデータ量はかなり多く、影響を受ける顧客の数も膨大。データを売りに出すハッカーの主張によれば、各商品には以下の情報が含まれるという。なお、いずれもBreachForumsの投稿に記載された内容を参照している。
<サンタンデール銀行:販売価格は200万米ドル、影響を受ける国はスペイン、チリ、ウルグアイ>
- 3千万件分の顧客データ
- 600万件分の口座番号と残高情報
- 2,800万件分のクレジットカード番号
- 人事部門の従業員リスト
- 消費者の市民権情報
- その他多数の情報
<チケットマスター:販売価格は50万米ドル>
- 5億6千万件分の顧客のフルデータ(名前、住所、Eメール、電話)
- チケット販売、イベント情報、注文履歴。
- クレジットカード情報(顧客、下4桁、有効期限)
- 消費者詐欺情報
- その他多数の情報
侵害原因は外部クラウドサービスか
サンタンデール銀行は、この侵害の原因が、スペイン法人の外部サービスプロバイダーが不正アクセスを受けたことによるものだと示唆。ライブネーション(チケットマスター)も、データは同社自身からではなく、サードパーティのクラウドデータベースプロバイダーから盗まれたと述べている(※)。
※TechChrunch紙によれば、チケットマスターの広報担当者が匿名で同紙の取材に応じ、盗まれたデータベースはSnowflakeでホストされていた」と返答したとのこと。
侵害されたSnowflakeの従業員アカウントが使われたとする報道
これについて、現在は取り下げられているHudson Rockのレポートでは、攻撃を実施したハッカーが、「クラウドストレージ事業者Snowflakeの従業員アカウントをハッキングした後に両組織のデータを盗んだ」と主張している旨が明かされた。このレポートにはまた、当該従業員が昨年10月にインフォスティーラー「Lumma」に感染してSnowflakeインフラへの認証情報が盗まれたとの記載もある。さらにこのハッカーは、Snowflakeのほかの顧客(アンハイザー・ブッシュ、ステートファーム、三菱、Progressive、ニーマン・マーカスなどを含む)のデータにもアクセスしたと主張しているという。ハッカーによれば、このデータ窃取は、盗んだ認証情報を使って当該従業員のServiceNowアカウントにサインインし、Oktaのセキュア認証プロセスをバイパスして行われたとされる。その後ハッカーは、セッショントークンを生成してSnowflakeの顧客が保有するデータを抜き取ったのだという。
Snowflakeは自社が侵害されたことを否定、顧客アカウントの侵害については認める
一方でSnowflakeは、Hudson Rockのレポートの内容について認めることはせず、代わりに複数の顧客アカウントに対する「標的型の脅威キャンペーン」についてCrowdStrikeおよびMandiantとともに声明を出している。これによれば、同キャンペーンがSnowflakeプラットフォームの脆弱性や誤設定、あるいは侵害によって引き起こされた証拠はなく、また従業員の侵害された認証情報を使って行われた形跡もないという。そうではなく、これは単一要素認証しか設定していないユーザーに狙いを定めたキャンペーンであると思われ、過去に売買されたか、インフォスティーラーによって盗まれた認証情報が利用されていると指摘した。
一方で同社は、元従業員に属するデモアカウントの認証情報をハッカーが入手し、このアカウントにアクセスした形跡が見つかったとも報告。ただ、このデモアカウントに機微な情報は含まれておらず、プロダクションシステムやコーポレートシステムとも接続されていなかったとされる。
クラウドサービス利用時のリスクが浮き彫りに
今回のインシデントはまだ完全に決着がついているわけではなく、今後新たな事実が判明したり、逆にこれまで報じられていた内容が覆されたりすることもあり得る。侵害原因ではないかと憶されるSnowflakeのアカウントについても、まだ正確なところはわかっていない。ただ、両組織のデータが外部サービスから盗まれたことだけは確かであり、こうしたサービスを利用する際のリスクが改めて浮き彫りになったと言える。クラウド事業者をはじめとする外部プロバイダーや委託先の適切な選定・評価、契約時のセキュリティ面の確認と合意、責任分界点の明確化といった対応の重要性を、改めて心に留めておく必要がありそうだ。