Neiman Marcus confirms data breach after Snowflake account hack
2024/06/25 BleepingComputer — 高級小売店の Neiman Marcus は、最近の Snowflake データ盗難攻撃の被害に遭遇し、同社から盗み出されたデータベースの売却を、ハッカーが試みていたことを明らかにした。同社がメイン州の司法長官事務所に提出したデータ流出通知によると、この流出により影響を受けた人々は 64,472人に及ぶという。この通知の中で Neiman Marcus は、「2024年4月 〜 5月に、Neiman Marcus グループが使用しているデータベース・プラットフォームに、脅威アクターが不正アクセスしていたことが、5月に入ってから判明した。さらに、当社の調査により、データベース・プラットフォーム上の個人情報が、この脅威アクターにより盗み出されていたことが判った」と述べている。
さらに同社は、「流出した情報の種類は、それぞれの被害者により異なるが、氏名/連絡先/生年月日や、 Neiman Marcus あるいは Bergdorf Goodman のギフトカード番号 (ギフトカードの暗証番号は除く) などが含まれていた」と詳述している。
情報漏洩が発見された時点で 同社は、データベース・プラットフォームへのアクセスを無効化し、サイバー・セキュリティの専門家と共同で調査を行い、法執行機関に通知したとしている。
なお、Neiman Marcus と Bergdorf Goodman のギフトカード番号は流出したが、データには暗証番号は含まれていないため、いまもギフトカードはとのことだ。
Neiman Marcus は、「先日に Neiman Marcus Group (NMG)は、サードパーティの Snowflake が提供し、NMG が使用するクラウド・データベースが、不正アクセスを受けたことを確認した」と、BleepingComputer と共有した声明で述べている。
Snowflake のデータ盗難攻撃との関連性
Neiman Marcus のデータがハッキング・フォーラムで、”Sp1d3r “ という脅威アクターにより $150,000 で売りに出されているという報告の後に、このデータ侵害に関する通知が公開された。この脅威アクターは、最近の Snowflake データ窃盗攻撃で侵害された、他の多数の企業のデータも売却していると見られている。
ハッキング/フォーラムへの投稿の中で Sp1d3r は、Snowflake には言及していない。しかし、Sp1d3r がデータベース・プラットフォームからデータを盗むために作成した、”Raped Flake” というカスタム・ツールの名が記載されている。
Source: HacManac
Sp1d3r によると、盗まれたデータは、Neiman Marcus が公表したものに限定されないようだ。具体的に言うと、社会保障番号の下4桁/顧客取引/顧客のEメール/ショッピング記録/従業員データ/数百万件のギフトカード番号なども含まれているという。
このアクターの主張は、フォーラムへ投稿する前に Neiman Marcus への恐喝を試みたが、同社は身代金の支払いを拒否したというものだ。しかし、フォーラムにおける該当の投稿とデータ・サンプルが、その直後に削除されたことから、同社と脅威アクターの交渉が始まったという可能性も否定できない。
165の組織が SnowFlake 攻撃の影響を受けた可能性
SnowFlake/Mandiant/CrowdStrike の共同調査により、UNC5537 として追跡される脅威アクターは、盗み出した顧客の認証情報を悪用することで、アカウントに多要素認証を設定していない 165の組織を、標的としていたことが明らかになった。
また Mandiant が、Snowflake 攻撃と関連付けているのは、2024年5月以来 UNC5537 として追跡している金銭的な動機を持つ犯罪グループである。この脅威アクターは、ユーザー組織に侵入してデータを盗み出し、被害組織に恐喝を試みることで知られている。その交渉の内容と条件は、身代金を支払うことで、盗み出したデータを公開や、他の脅威アクターへの提供は、行わないというものだ。
Mandiant は、UNC5537 について、それほどの詳細情報は公開していない。しかし BleepingComputer は、彼らが脅威アクター・コミュニティの一員であり、特定の Web サイト/Telegram/Discord などを頻繁に訪れていることを確認した。そして UNC5537 は、Snowflake アカウントに侵入するために、2020年以降の情報窃取マルウェア感染により盗まれた、認証情報を悪用していることも判明した。
Mandiant は、「影響を受けたアカウントは、多要素認証が有効化されておらず、認証に必要なのは有効なユーザー名とパスワードだけという状態だった。情報窃取マルウェアの出力で確認された認証情報には、盗まれてから何年も経過した、今でも有効なものもある。つまり、ローテーションやアップデートが行われていなかったことが示唆される。影響を受けた Snowflake の顧客インスタンスは、信頼できる場所からのアクセスのみを許可する、ネットワーク許可リストを持っていなかった」と述べている。
Source: Mandiant
すでに Snowflake と Mandiant は、これらの進行中の攻撃にさらされる可能性のある、約 165の組織に対して通知している。
これらの攻撃に関連する、最近の侵害には Santander/Ticketmaster/QuoteWizard/LendingTree/Advance Auto Parts/Los Angeles Unified/Pure Storage などがある。
この Snowflake 侵害の勢いが凄いですね。止まる気配がまったく感じられません。このブログで拾っている関連記事は以下のとおりですが、この他にもたくさんの被害者が出ているのでしょう。
2024/06/22:MFA だけではクラウド・データ保護は無理:Snowflake の教訓
2024/06/21:Santander 報告:情報漏えいと Snowflake の関係は?
2024/06/14:Snowflake 侵害をトリアージ:YetiHunter ハンティング・ツール
2024/06/13:Truist Bank から盗まれたデータが $1 M で販売されている
2024/06/10:BlackBerry Cylance のデータがダークウェブで販売されている
2024/06/01:Apache Log4J2 脆弱性の悪用:Sisense/Snowflake への侵害
2024/05/31:Snowflake のデータ侵害:Santander/Ticketmaster
IoT OT Security News 
You must be logged in to post a comment.