Snowflakeキャンペーンに関与のハッカー、データ窃取の経緯語る | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Snowflakeキャンペーンに関与のハッカー、データ窃取の経緯語る

Threat Report

EPAM

EPAM Systems

ShinyHunters

Snowflakeキャンペーンに関与のハッカー、データ窃取の経緯語る

佐々山 Tacos

佐々山 Tacos

2024.06.19

Snowflakeキャンペーンに関与のハッカー、データ窃取の経緯語る

WIRED – JUN 17, 2024

セキュリティ業界を騒がせている、Snowflakeの顧客アカウントの侵害およびデータ窃取インシデント。影響を受けた顧客は165組織ほどに達する可能性が指摘されており、一部組織は30万〜500万ドルの身代金を要求されているとの報道もある。

この攻撃キャンペーンの被害組織のうち、チケットマスターを含む一部組織のSnowflake環境から数テラバイト分のデータを盗み出したとされる脅威グループ「ShinyHunters」のハッカーが、WIRED紙の取材に応じた。このハッカーによれば、一部のケースでは、ベラルーシ人によって創立されたサードパーティの請負事業者EPAM Systemsを最初に侵害することで、Snowflakeアカウントへのアクセスが達成されたのだという。

EPAM Systemsとは?

EPAM Systemsは、ベラルーシ生まれのArkadiy Dobkin氏によって創立されたソフトウェア・エンジニアリングおよびデジタルサービスの上場企業で、収益は48億ドルほど。北米やヨーロッパ、アジア、オーストラリアなどの組織に対し、ソフトウェア開発やマネージドサービスの提供といった事業を展開している。従業員数は55,000人で、ロシア・ウクライナ戦争開始前にはその3分の2がウクライナ、ベラルーシ、ロシアに居住していたとされる。

同社のサービスの1つには、Snowflakeアカウントの運用をサポートするというものがあり、2022年にはSnowflakeの「エリートパートナー」の地位を得た旨が発表された。上述のハッカーによれば、ShinyHuntersはEPAMの従業員システム上で発見したデータを使い、複数のSnowflake顧客のアカウントにアクセスしたのだという。

ShinyHuntersのハッカーが語った内容

WIRED紙はShinyHuntersに属するハッカーに、テキストベースでのインタビューを実施。このハッカーは、主に以下のような主張をしたという(※あくまでハッカーの主張であり、真偽は定かではない)。また、これらの主張に関連するセキュリティ研究者Reddington氏の報告内容や、Mandiantの報告内容も併せて以下にまとめている。

 

【ハッカーの主張①】ウクライナに住むEPAMの従業員1名(仮に「A」)のコンピューターが、スピアフィッシング攻撃によりインフォスティーラー(情報窃取型マルウェア)に感染した(ただし、この初期侵害がShinyHunters自身によって実施されたのか、別のハッカーによって侵害済みのシステムへのアクセスを同グループが購入したのかは不明)。ShinyHuntersは同従業員のシステムにリモートアクセス型トロイの木馬をインストールし、端末上のあらゆるものへアクセスできる状態となった。

<ShinyHunterとSnowflakeキャンペーンの被害組織との間の身代金交渉をサポートしているReddington氏はWIRED紙に対し、インフォスティーラーによって集められたデータのオンラインリポジトリを提示。これには従業員AのPCから収集されたデータも含まれており、このデータには、チケットマスターのSnowflakeアカウントに繋がるEPAM社の内部URLや、従業員Aが同アカウントへアクセスするのに用いていたユーザー名とパスワード(平文)などが含まれていた。さらに、AのPCのブラウザ履歴も含まれており、ここからAの氏名も明らかになった。これらの事実から、Reddington氏は、「Snowflakeアカウントへのアクセス権を持つEPAM従業員のPCがインフォスティーラーに感染し、パスワードが盗まれ、ダークウェブで売りに出された」ものと考えている>

【ハッカーの主張②】ShinyHuntersはその後、従業員Aが、EPAMの顧客のSnowflakeアカウント(チケットマスターのものも含まれていたとされる)へアクセスするのに使用していた暗号化されていないユーザー名とパスワードを発見。これらの認証情報は、従業員AのPC上のプロジェクト管理ツールJira内に保管されていたという。

<Mantiantはブログ記事のなかで、Snowflakeアカウントへのアクセスのために、複数の請負業者(BPO企業)が侵害されていたことを示唆している>

【ハッカーの主張③】ShinyHuntersは上記の認証情報を使い、各Snowflakeアカウントへアクセス。これらのアカウントには多要素認証(MFA)が設定されていなかったため、認証情報のみでアクセスが可能だったとされる。EPAM経由で侵害されたのがどの顧客なのかは明かされていないが、ハッカーはチケットマスターがこのうちの1社であることを仄めかした。

<Mandiantも、被害に遭った組織のアカウントが侵害可能だったのはMFAが未設定であったためだと述べている>

【ハッカーの主張④】従業員Aのシステムに保管されていたわけではないSnowflakeの認証情報については、2020年にさまざまなハッカーがインフォスティーラーを使って盗み出した古い認証情報のリポジトリ内から入手された。また、この方法で取得された認証情報には、過去に従業員Aのマシンから窃取されていたものも含まれていたという。

<Mantiantは、今回のSnowflakeキャンペーンの被害組織のおよそ80%が、2020年以降にインフォスティーラーによって盗まれた認証情報を用いて侵害されていた旨を明かしている>

EPAMは自社がSnowflakeキャンペーンに関わっているとは考えておらず

WIREDが本件についてEPAMにコンタクトを取ったところ、同社は今回のSnowflakeアカウント侵害キャンペーンで「自社が何らかの役割を果たしたとは考えていない」と述べたという。さらには、ShinyHuntersがこの話をでっち上げたのではないかという見解も仄めかした。

確かに、「ShinyHunterは実際には従業員Aのシステムを直接はハッキングしておらず、シンプルにネット上の漏洩認証情報リポジトリから得られたユーザー名・パスワードを使っただけだった」ということもあり得る。ただ、Reddington氏が指摘したように、EPAM従業員のPCから盗まれたデータはすでにネット上に出回っており、その気になれば誰もがこうした情報を見つけ出せるということになる。マイクロソフトやGoogle、アドビ、Amazon Web Servicesを含むソフトウェア・ハイテク業界のほか、銀行やその他金融サービス、ヘルスケア関連、放送ネットワークなど重要な業界の顧客を複数抱えるEPAM。すべての顧客がSnowflakeアカウントの管理をEPAMに任せているとは限らないものの、上記の内容から、EPAM顧客のデータの安全性に関する潜在的な懸念が浮かび上がってきている。

なおWIREDは再度EPAMにコンタクトを取り、従業員Aの氏名と、AがチケットマスターのSnowflakeアカウントへアクセスする際に用いていた認証情報を伝えたが、18日までに返信は得られていないとのこと。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ