現代のセキュリティにおいて、もっとも注意しなければならない攻撃のひとつはアカウント情報の窃取あるいは漏洩である。なぜなら、正規アカウントや権限による操作は、攻撃かどうかの見極めが困難だからだ。正規のクレデンシャルがあれば、攻撃を実施せずとも、難なくサーバーに侵入することができる。
「ただのなりすましなら MFA やリスクベース認証など対策はあるだろう」と反論するかもしれない。もちろん MFA などは正規アカウントによる不正アクセスに対して、有効な検知・防止対策となる。それでも、Snawflake と Midnight Blizzard の事例があるように楽観はできない。正規アカウントによるなりすましが、大きな問題に発展するのは、近年のクラウドサービスの普及が背景にある。クラウド上のストレージやデータレイクリソースが、なりすましが起こった際のインパクトを押し上げている現実がある。
CODE BLUE 2024(2025 は 11 月 18 日 (火) ~ 19 日 (水) 開催)で行われた Mitiga 社の ロエイ・シャーマン氏(写真)による講演「SnowflakeからSnowstormへ:侵害と検知の対処」では、まさにこの点について語られ、特に検知方法や対策が詳しく語られた。
● Snowflake:世界的なデータレイククラウドが狙われた
まず、Snowflake と Midnight Blizzard について概要を整理しておこう。
Snowflake は多くの企業が利用しているデータウェアハウス / データレイクプラットフォームだ。2024 年に Snowflake の顧客インスタンスが標的となっているキャンペーンを Mandiant が発見・報告した。
Mandiant の分析では、最大 165 社のテナントデータが狙われたとする。攻撃アクターは UNC5537。金融犯罪を主とするグループで、国家支援型の APT グループではないとされる。大規模なリソースを持つ集団ではないが、独自のインフォスティーラーおよびアンダーグラウンドマーケットを使い、標的のログイン情報などを収集したと考えられるという。
UNC5537 は、その中で Snowflake のインスタンスに狙いを定め、MFA を有効にしていないなど設定の不備と組み合わせて、標的の Snowflake のデータを窃取したとされる。盗んだ情報は、アンダーグラウンドで売買したり、標的企業の脅迫にも使われた。被害企業には AT&T や Ticketmaster などが含まれているとも言われ、被害総額は 2,700 万ドルと試算されているという。
