Snowflakeの顧客データ侵害: 2024年におけるアイデンティティセキュリティ脅威の高まり

アイデンティティ侵害：サイバー犯罪における増大する脅威

暗号通貨市場ではアイデンティティが至高のものであり、毎年数十億ドルの詐欺を引き起こしています。サンタンデール、チケットマスター、スノーフレイク、最近ではアドバンストオートパーツやレンディングツリーといった企業の高プロファイルな侵害事件は、攻撃者が企業のセキュリティの脆弱性をいかに迅速に悪用するかを示しています。テッククランチによれば、スノーフレイクの顧客アカウントに関連する数百のパスワードが、情報窃取マルウェアによってオンラインでアクセス可能になっています。スノーフレイクが多要素認証（MFA）を任意としたことは、その被害を受けた顧客のアイデンティティ危機をさらに悪化させています。

サイバー犯罪情報：協力的な脅威の風景

サイバー犯罪組織と国家は、アイデンティティ侵害を実行する自信を深めており、サイバー犯罪情報提供者とテレグラムを介して協力しているとされています。ハドソン・ロックは最近、5月31日にスノーフレイクを侵害した手法についてのブログを発表しました。これは、サンタンデールやチケットマスターでの以前の侵害を担当したハッカーとの会話も含まれています。

公開されていたブログによると、攻撃者は盗まれた資格情報を使用してスノーフレイクの従業員のServiceNowアカウントにアクセスし、OKTAをバイパスしました。その後、セッショントークンを生成し、スノーフレイクのシステムを無検知で移動、広範なデータを持ち去りました。

シングルファクター認証：大きな脆弱性

スノーフレイクのプラットフォームはデフォルトでシングルファクター認証を採用していますが、これは重大なセキュリティリスクを伴います。ドキュメントには「デフォルトでは、個別のスノーフレイクユーザーに対するMFAは有効ではない」と記載されています。攻撃者は特にシングルファクター認証に依存するユーザーをターゲットにしており、情報窃取マルウェアを通じて入手した資格情報を活用しています。CISA（サイバーセキュリティとインフラストラクチャセキュリティ局）は、すべてのスノーフレイク顧客に警告を発出しました。

スノーフレイク、クラウドストライク、マンディアントによる調査では、攻撃者が退職した従業員の資格情報を通じてデモアカウントにアクセスしたことが明らかになりました。これらのアカウントは、OktaやMFAのような堅牢なセキュリティ対策が欠如しており、スノーフレイクのシステムへの侵入点を提供しました。ただし、同社によれば、そのプラットフォームには体系的な欠陥や侵害の証拠はないとしています。

広範なデータ侵害が数百万人に影響

サンタンデールの歴史上最大の侵害事件のひとつでは、最大3000万人の顧客のクレジットカード情報と個人情報が漏洩しました。一方、560万のチケットマスターの顧客が別の侵害でデータを流出させ、名前、住所、メール、電話番号、クレジットカード情報が公開されました。ハッカーグループのShinyHuntersは、この盗まれたデータを復活したBreachForumsで活発に販売しています。

さらに、別のBreachForumsのユーザーSp1d3rは、スノーフレイクの事件に関連する2つの追加企業からの情報を入手したと主張しています。これには、アドバンストオートパーツに関する3億8000万件の顧客の詳細や、レンディングサービスのレンディングツリーおよびクオートウィザードに含まれる1億9000万件のプロファイルが含まれています。

積極的な対応：侵害通知の透明性向上

CISO（最高情報セキュリティ責任者）やセキュリティリーダーは、大規模なサイバーセキュリティ事件を開示する際の透明性の重要性を認識しています。サンタンデールとチケットマスターは、サードパーティのクラウドデータベースへの不正アクセスを迅速に報告しました。

ライブネイション（チケットマスターの親会社）は、SECに8-Kを提出し、5月20日に不正な活動を検出し調査を開始したと述べています。この文書によれば、5月27日にハッカーが暗号通貨市場で企業データの販売を申し出ていたことが明らかになりました。サンタンデールも同様の声明を発表し、第三者提供者のホストされたデータベースへの不正アクセスを確認しました。

信頼の再考：アイデンティティセキュリティの強化

約6億件の記録が侵害される中、攻撃者が容易に侵入できる状況が浮き彫りにされ、アイデンティティ保護戦略の再評価が不可欠です。認証方法に過度に依存することが侵害の受容性を高めています。

侵害がすでに発生している可能性を前提としたゼロトラストアプローチの採用が重要です。今年、78%の企業がアイデンティティベースの侵害が業務に悪影響を与えたと報告しています。侵害を受けた企業の96%は、以前にアイデンティティベースのゼロトラスト対策を実施していれば、事件を防げたと考えています。

IAM（アイデンティティとアクセス管理）はゼロトラストの中心であり、NIST SP 800-207のガイドラインに沿ったものです。さらに、アイデンティティセキュリティはバイデン大統領の大統領令14028の重要な側面です。

組織はリスクを軽減するために進化した認証方法を評価しており、パスワードが依然として重大な問題を引き起こしています。ガートナーのアナリストは、「パスワードレス認証の出現にもかかわらず、多くのユースケースでパスワードが依然として存在し、大きなリスクやユーザーの不満の原因となっています。」と指摘しています。

CISOは認証制御の強化に注力し、以下を強調しています：

- 各アイデンティティに対して継続的な認証を迅速に実装する。

- 資格情報の衛生状態を向上させ、ローテーションの頻度を増加させる。

- ユーザーを確認済みアプリケーションのリストに限定し、リスクを軽減する。

- IAMシステムを利用して、すべてのアイデンティティ関連活動を監視する。

- ユーザーのセルフサービス、BYOI（Bring Your Own Identity）の改善、外部利用ケースの拡大を図る。

アイデンティティの危機に対処するために、CISOにはセキュリティを犠牲にせず、あらゆるデバイスに適応できるユーザーフレンドリーなパスワードレス認証システムが求められています。主要なソリューションには、Microsoft Authenticator、Okta、Duo Security、Auth0、Yubico、IvantiのZero Sign-On（ZSO）などがあります。