チケットマスター、スノーフレークプラットフォームのデータ侵害サイバー攻撃を受け、ユーザーデータが侵害される

Ticketmaster は、他の複数の組織とともに、Snowflake プラットフォームへのサイバー攻撃により重大なデータ侵害を経験しました。セキュリティ研究者は、大量の情報が盗まれ、数百万人のユーザーに影響を与えたと報告しました。

違反の発見

この情報漏洩は、悪名高いハッカー集団が5億6000万人のユーザーのデータを盗み出し、その情報と引き換えに50万ドルを要求したと主張したことで世間の注目を集めた。チケットマスターの親会社であるライブ・ネイション・エンターテインメントはSECへの提出書類でこの情報漏洩を認め、サードパーティのクラウドデータベースへの不正アクセスを明らかにした。

5月31日、スノーフレークは、限られた数の顧客に影響を及ぼしたサイバーインシデントを調査中であることを明らかにした。脅威アクターは、シングルファクタ認証を使用する顧客アカウントを標的とし、以前に取得した認証情報を利用した。スノーフレークは、コアプラットフォームの脆弱性や侵害の証拠はないと強調した。

セキュリティ対策と企業対応

スノーフレークは、侵害された認証情報は元従業員のものであり、機密データは含まれていないデモ アカウントへのアクセスに使用されたと述べています。デモ アカウントは、スノーフレークの企業システムとは異なり、多要素認証 (MFA) で保護されていませんでした。同社は、侵害の兆候 (IoC) を提供し、疑わしいアカウント アクティビティに対する緩和策を推奨しました。

このサイバー攻撃は、アンハイザー・ブッシュ、オールステート、三菱、ニーマン・マーカス、プログレッシブ、サンタンデール銀行、ステートファームなど、多数の組織に影響を与えました。サンタンデール銀行は、データベースへの不正アクセスにより顧客と従業員の情報が漏洩したと報告しました。この攻撃は、約 400 の組織に影響を与えた可能性があり、攻撃者はスノーフレークに 2,000 万ドルの損害賠償を要求しました。

調査結果

脅威アクターは、Okta の保護を回避してセッション トークンを生成し、大量のデータを盗んだと主張しました。レポートによると、500 を超えるデモ環境インスタンスが侵害されました。オーストラリア サイバー セキュリティ センターは、Snowflake の顧客環境に関連する脅威活動が増加していることを認めました。

セキュリティ研究者のケビン・ボーモント氏は、スノーフレークがデモ環境で MFA を使用しておらず、従業員アカウントを適切に保護していなかったことが侵害の一因であると指摘した。テレグラムで活動している 10 代の若者と特定された脅威アクターは、盗んだ認証情報を使ってインフォスティーラーを使用してスノーフレークのデータベースにアクセスした。

Snowflake/Tickmaster のお客様への推奨事項

お客様には、非アクティブなアカウントを無効にし、MFA が有効になっていることを確認し、アクティブなアカウントの資格情報をリセットし、Snowflake の緩和推奨事項に従ってデータを保護することをお勧めします。

Snowflake を通じて促進された Ticketmaster のデータ侵害は、高度なサイバー脅威から身を守るために、多要素認証や厳格な資格情報管理などの強力なセキュリティ対策の重要性を強調しています。