Snowflakeのデータ侵害が示唆する、Salesforceセキュリティへの「警鐘」

ハッカーがログイン認証情報を盗み、最大500万米ドルの身代金を要求

6月2日、Snowflakeは標的型サイバー攻撃を受けたと報告した。サイバーセキュリティ企業のMandiantによると、ハッカー集団UNC5537が盗んだ顧客の認証情報を利用して、最大165社のSnowflake顧客のアカウントにアクセスしたことが判明した。その後、攻撃者はそのうち5～10社の顧客に対し、30万ドルから500万ドルの身代金を要求した。

攻撃者は心理戦を用いて圧力をかける

この侵害は、単一要素認証の脆弱性を悪用することで可能となった。これにより、攻撃者は不正アクセスを行い、データを盗み出すことができた。マンディアントによると、攻撃者は主に、様々な情報窃取型マルウェアのキャンペーンから盗まれたログイン認証情報を取得していた。その亜種には、例えばVIDAR、RISEPRO、REDLINE、RACOON STEALER、LUMMA、METASTEALERなどが含まれる。

Snowflakeに関連する複数の調査において、マンディアントは、情報窃取マルウェアによる最初の侵害が、多くの場合、請負業者のシステムで発生していたことを突き止めました。これらの請負業者のシステムは、業務と私的な活動の両方に使用されていました。これには、ゲームや海賊版ソフトウェアのダウンロードに使用されたシステムも含まれていました。

攻撃者は戦術をエスカレートさせるため、セキュリティアナリストに対して殺害予告を行いました。彼らは、AIを用いて偽の誹謗中傷画像を作成するなど、サイバーセキュリティの専門家を威嚇するための心理的戦術を用いました。

盗まれたデータは、標的企業に身代金の支払いを強要するため、違法なオンラインフォーラムで競売にかけられた。

金銭的動機を持つ犯罪者と、侵害による経済的損失を被った被害者

Snowflakeの顧客を標的としたようなサイバー攻撃の背後にある原動力は、往々にして金銭である。被害者にとって、金銭的および評判上の影響は深刻なものとなり得る。関係企業は、盗まれたデータの性質やデータ保護法への遵守状況に応じて、規制当局の精査や罰金に直面する可能性がある。信頼の喪失や評判の毀損といったその他の影響は、測定が困難であり、修復も容易ではありません。

Snowflakeのデータ侵害の余波で、AT&Tも侵害を受けました。同社の広報担当者によると、これはSnowflakeの顧客を巻き込んだデータ侵害において顧客データが盗まれたことによる結果でした。これは、波及効果が広範囲にわたる損害をもたらし得るクラウドエコシステムの相互接続性を浮き彫りにしています。

AT&Tの報告によると、4月にサイバー攻撃者がサードパーティのクラウドプラットフォーム上でホストされていたAT&Tのワークスペースに侵入し、2022年5月1日から10月31日、および2023年1月2日までの顧客の通話記録やテキストメッセージのやり取りを含むファイルをダウンロードしました。この侵害はほぼすべてのAT&T顧客のデータに影響を及ぼしました。

Snowflakeの侵害はSalesforceのセキュリティにとって何を意味するのか？

Snowflakeの侵害は、クラウドセキュリティにおける責任分担のパラダイムを浮き彫りにしています。このパラダイムでは、サービスプロバイダーとクライアントの双方が、それぞれの環境を保護する役割を担っています。Snowflakeのインシデントにおいて、脆弱だったのはプラットフォームそのものではありませんでした。サイバーリスクは顧客環境に起因するものでした。

Salesforceのようなダイナミックなエコシステムでは、ユーザーを完全に制御することはできません。特に外部ユーザーについてはなおさらです。例えば、Snowflakeのインシデントでは、情報窃取キャンペーンは当初、請負業者のシステム上で発生していました。同様に、Salesforceにおいても、パートナーや顧客からなるサプライチェーンを通じて脅威が拡散するリスクにプラットフォームはさらされています。自社組織のセキュリティ対策が堅固であっても、これらの外部ユーザーのセキュリティ対策は制御の及ばない範囲にあります。したがって、サプライチェーンの脅威から環境を保護することは極めて重要です。

また、情報窃取型マルウェアの脅威だけでなく、ユーザーがフィッシングサイトに騙されることでも、認証情報の盗難につながる可能性がある点にも留意すべきです。幸いなことに、適切なツールを使えば、これらのリスクはどちらも防止可能です。

Snowflakeのインシデントを受けて、すべてのSalesforceユーザーに対し、MFA（多要素認証）を有効化し、強固な認証情報の管理を維持することを強く推奨します。Salesforceにおけるクラウドセキュリティリスクを低減するためには、組織はクラウドプラットフォーム上で脅威に対する防御を強化し、厳格なアクセス制御を実施する必要があります。

Salesforceのセキュリティに関するその他の推奨事項については、当社の無料ガイドをダウンロードしてください：

Salesforce上の高度な脅威を即座に阻止

外部ユーザーがSalesforceにアクセスでき、Salesforceの機能を通じてファイルやURLをやり取りできる場合、セキュリティ上の脆弱性が存在します。サイバー犯罪者は、Salesforceを経由してマルウェアやフィッシングサイトへのリンクを送り込む可能性があります。これにより、Snowflakeが被害を受けたのと同様の認証情報窃取キャンペーンが仕掛けられる恐れがあります。

幸いなことに、WithSecure™ Cloud Protection for Salesforceのようなネイティブセキュリティソリューションを利用すれば、Salesforceにおける高度なサイバー脅威のリスクを容易に軽減できます。WithSecure™ Cloud Protection for Salesforceは、Snowflakeのインシデントに関連する脅威に対抗します。例えば、情報窃取型マルウェアや、ユーザーを騙してログイン認証情報を漏洩させるフィッシングサイトへのURLをブロックします。

複雑かつ大規模なSalesforce環境向けに設計された本ソリューションは、リアルタイムの保護機能と環境全体に対する即時の可視性を提供します。カスタマイズやワークフローへの影響はありません。高度な認証を取得した本ソリューションは、現代の企業や重要な公共機関が求める厳格なコンプライアンス要件を満たしています。こちらから製品詳細をご覧ください、または以下のフォームより当社チームにご連絡いただき、Salesforceのセキュリティ要件についてご相談ください。