Snowflake顧客の認証情報500件超がネットに出回る スティーラーマルウェアにより流出か | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Snowflake顧客の認証情報500件超がネットに出回る スティーラーマルウェアにより流出か

Threat Report

Silobreaker-CyberAlert

Snowflake

Telegram

Snowflake顧客の認証情報500件超がネットに出回る スティーラーマルウェアにより流出か

佐々山 Tacos

佐々山 Tacos

2024.06.06

Snowflake顧客の認証情報500件超がネットに出回る スティーラーマルウェアにより流出か

TechChrunch – June 5, 2024

最近発生したサンタンデール銀行およびチケットマスターでの大規模データ侵害。クラウドサービスSnowflakeのアカウントがハッキングされ、当該アカウント経由で両社のSnowflake環境からデータが盗まれたのが原因であろうと考えられている。Snowflake自身は両社の侵害について現時点で公に言及していないものの、少数の顧客アカウントへの不正アクセスがあった可能性を認識しているとは述べている。

※このデータ侵害について、詳しくはこちらの記事で:サンタンデール銀行とチケットマスターの大規模侵害、Snowflakeアカウントのハッキングが原因となった可能性

そんな中、IT/テクノロジーメディアのTechCrunchがこの件に関して実施した調査の結果について共有。インフォスティーラーマルウェア(情報窃取型マルウェア)を使うなどして盗まれた認証情報が多数掲載されるサイバー犯罪者向けのWebサイトで、「Snowflakeの顧客の認証情報」とされるものが数百件見つかったという。TechCrunchは以下のような事柄について報告している:

  • Snowflake環境へのログインページのURLが併記された認証情報(ユーザー名とパスワード)が、500件以上観測された。
  • これらの認証情報には、サンタンデール銀行やチケットマスターのSnowflake環境に属するものが含まれていたほか、少なくとも大手製薬会社2社、食品デリバリーサービス企業、公営淡水供給事業者やその他企業/組織のものが含まれていた。
  • このほか、Snowflake社自身の元従業員のものとされるユーザー名およびパスワードも見つかった。
  • これらのユーザー名・パスワードを使ってログインを試みるのは違法行為となってしまうため、TechChrunchではそのようなテストは実施していない。このため、認証情報が今もなお有効なのかどうかや、実際にアカウント侵害やデータ窃取に使われたものがあるのかなどは不明。
  • ただし、TechChrunchは各データに併記されたURLをチェックし、それらが該当企業(Snowflake顧客)のSnowflake環境へのログインページに繋がっていることは確認している。これらのログインページへは、誰もがアクセス可能な状態となっている。
  • 各ログインページでは、Snowflake環境へログインするオプションとして、①Oktaを使ったMFA認証か、②同環境のユーザー名・パスワードのみによる認証の2通りの手段が用意されていた。TechChrunchがチェックしたログインページの中には、①のオプションを選んだ場合、ライブネーション(チケットマスター)やサンタンデール銀行のサインインページにリダイレクトするものがあった。
  • TechChrunchが調べた盗難認証情報サイトに掲載されていたのは、②のログインオプションで用いられる認証情報であり、これらの認証情報の持ち主である各従業員のPCがスティーラーマルウェアに感染したことにより盗まれたものとみられる。
  • ユーザー名として用いられていたEメールアドレスを使ってHave I Been Pwnedでの検索を実施したところ、その一部は最近追加されたばかりの大規模盗難データセットにも含まれていたことが判明。このデータセットは、盗難認証情報をシェアするために使われる複数のTelegramチャンネルから収集されたもの(※)。この事実からは、自社のSnowflake環境へのアクセス権を持つ従業員らのPCが、過去にスティーラーマルウェアに感染していたであろうことが示唆される。

※この件について詳しくはこちらの記事で:Telegramで共有された盗難アカウント情報3億6,100万件、Have I Been Pwnedに追加される

TechCrunchが確認した認証情報には、サンタンデール銀行やチケットマスターのものだけでなく、その他複数の企業/組織のSnowflake環境へのログイン情報と思われるものもあった。このことから、本件による影響が当初考えられていたよりもはるかに広範に及ぶ可能性が浮かび上がってきた。また、スティーラーマルウェアが重大な脅威となっていることや、多要素認証(MFA)の導入が絶対的に重要であること、またクラウドにデータを保管するリスクなども改めて浮き彫りになっている。

関連記事

Threat Report

Threat Report

Silobreaker-CyberAlert

Snowflake

Telegram

スティーラーマルウェアの進化と隆盛

佐々山 Tacos

佐々山 Tacos

2024.06.06

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ