【Snowflake】
◆UNC5537 (まとめ)
https://incidents.hatenablog.com/entry/UNC5537
◆ShinyHunters (まとめ)
https://incidents.hatenablog.com/entry/ShinyHunters
◆インシデント: AT&T (まとめ)
https://incidents.hatenablog.com/entry/AT%26T
◆インシデント: Ticketmaster (まとめ)
https://incidents.hatenablog.com/entry/Ticketmaster
【概要】
| 項目 |
内容 |
|---|---|
| 発生日時 | 2024/04 中旬から脅威活動が増加 |
| 発覚日時 | 2024/05/23 |
| 発表日時 | 2024/05/31 |
| 被害サービス | Snowflake |
| 被害規模 | 約165社 |
| 被害企業 | AT&T、Ticketmaster、Santander、QuoteWizard、Pure Storage |
| 原因 | ・多要素認証を使用していなかったため (snowflake) ・顧客のアカウントにハッキング(Snowflakeの主張) ・Snowflakeの従業員のアカウントにハッキング (犯罪組織の主張) |
| 手法(犯罪組織の主張) | ・認証情報を使ってSnowflakeの従業員のServiceNowアカウントにサインインしOktaの安全な認証プロセスを、迂回 ・セッション・トークンを生成し、Snowflakeの顧客のデータを流出させた |
| 犯罪組織 | ・UNC5537 ・ShinyHunter |
| 犯罪組織の拠点 | 北米、トルコ |
| 逮捕者 | 1名 (AT&Tの発表) |
| データ買取要求額 | 2000万ドル (Snowflake が応じなかった) |
| 関連する感染事件 | スノーフレークの従業員が2023年10月にLummaタイプのInfostealerに感染した |
| 認証情報の入手方法 | ・マルウェアを使い、スノーフレーク・インフラストラクチャへの企業認証情報を盗んだ ・認証情報を使って、被害者のSnowflakeテナントにアクセス |
| 使用ツール | RapeFlake (データベースからの情報流出に使用したカスタムツール) |
■情報流出企業
| 組織 |
備考 |
|---|---|
| AT&T | 1億900万人分の通話記録がSnowflakeの侵害事件で流出したことが判明 |
| Ticketmaster | 5億6000万人分の個人情報を盗難(ShinyHunters主張) |
| Santander | 3000万人分の個人情報が流出 |
| QuoteWizard | |
| Pure Storage |
【ニュース】
■2024年
◇2024年5月
◆Snowflake account hacks linked to Santander, Ticketmaster breaches (BleepingComputer, 2024/05/31 13:31)
[Snowflake口座ハッキング、Santander や Ticketmaster の侵害と関連か]
https://www.bleepingcomputer.com/news/security/snowflake-account-hacks-linked-to-santander-ticketmaster-breaches/
⇒ https://incidents.hatenablog.com/entry/2024/05/31/000000_8
◇2024年6月
◆Hackers Detail How They Allegedly Stole Ticketmaster Data From Snowflake (Wired, 2024/06/17 05:38)
[ハッカーがスノーフレークからチケットマスターのデータを盗んだとされる方法を詳述]
https://www.wired.com/story/epam-snowflake-ticketmaster-breach-shinyhunters/
⇒ https://incidents.hatenablog.com/entry/2024/06/17/000000_2
◆Pure Storageは、Snowflakeに関連する攻撃の早期被害者として名乗りを上げた (ITmedia, 2024/06/26 08:30)
Pure Storageは「攻撃によって公開された情報が、顧客システムへのアクセスを得るために使用されることはない」と述べている。
https://www.itmedia.co.jp/enterprise/articles/2406/25/news162.html
⇒ https://incidents.hatenablog.com/entry/2024/06/26/000000_5
◇2024年7月
◆Massive AT&T data breach exposes call logs of 109 million customers (BleepingComputer, 2024/07/12 09:37)
[AT&Tの大規模データ流出、1億900万人分の通話記録が流出]
https://www.bleepingcomputer.com/news/security/massive-atandt-data-breach-exposes-call-logs-of-109-million-customers/
⇒ https://incidents.hatenablog.com/entry/2024/07/12/000000
◆AT&T、新たなデータ侵害で“顧客のほぼ全員”の通話記録を盗まれる (ITmedia, 2024/07/13 08:26)
https://www.itmedia.co.jp/news/articles/2407/13/news072.html
⇒ https://incidents.hatenablog.com/entry/2024/07/13/000000
◆アメリカの大手通信キャリアが1億1000万人の顧客「ほぼすべて」の電話記録を盗まれたことが発覚 (Gigazine, 2024/07/15 00:25)
https://gigazine.net/news/20240715-att-stolen/
⇒ https://incidents.hatenablog.com/entry/2024/07/15/000000
【ブログ】
◆Snowflake の情報流出騒動は異例の事態ではなく、危険が迫っている前兆 (Cisco Japan Blog, 2024/07/08)
https://gblogs.cisco.com/jp/2024/07/talos-infostealer-landscape-facilitates-breaches/
⇒ https://incidents.hatenablog.com/entry/2024/07/08/000000_4
【検索】
google: Snowflake
google:news: Snowflake
google: site:virustotal.com Snowflake
google: site:github.com Snowflake
google: Ticketmaster
google:news: Ticketmaster
google: site:virustotal.com Ticketmaster
google: site:github.com Ticketmaster
■Bing
https://www.bing.com/search?q=Snowflake
https://www.bing.com/news/search?q=Snowflake
https://twitter.com/search?q=%23Snowflake
https://twitter.com/hashtag/Snowflake
【関連まとめ記事】
◆不正アクセス (まとめ)
https://incidents.hatenablog.com/entry/Hacking
