Ticketmasterのアンコール：「ShinyHunters」はいかにしてショーをハッキングしたか

秘密のインターネットフォーラム（BreachForumsの再出現）で、ハッキング集団ShinyHuntersは現在、1.3テラバイトのTicketmaster顧客データであると主張するものを宣伝しています。

ShinyHunters（ShinyCorpとしても知られる）は、2020年に初めて出現した世界的なサイバー犯罪組織です。この集団は、数多くの著名なデータ侵害を実行したことで急速に悪名を馳せました。無邪気な愛好家グループを暗示する、気まぐれなポケモンに由来するニックネームにもかかわらず、ShinyHuntersはデジタル不正行為に深く関与しており、大規模なデータリポジトリからのデータ流出と収益化に焦点を当てています。

この組織の活動は、多数の違法な事業を隠しているインターネット上の領域であるダークウェブに浸透しています。この国際的な脅威グループは、最近の最も重大で注目を集めた大規模データベースへの侵入のいくつかに関与しているとされています。

現在、彼らは世界中の5億6000万人のTicketmaster顧客の個人情報を所有していると主張し、50万米ドルで単一取引購入として販売しています。

ShinyHuntersは、高度なデジタル侵入技術と大規模なデータ侵害で評判を得ています。このグループのハッキングへのアプローチは、計画的な立案と巧妙な実行を組み合わせ、デジタルインフラストラクチャの脆弱性を突き、悪用するためにさまざまな戦略を採用しています。

ShinyHuntersの典型的な手口は以下の通りです。

• 欺瞞キャンペーンを組織する：詐欺的なメールで被害者を誘い込み、ログイン認証情報を取得することを目的とした高度なフィッシング詐欺を展開します。
• 保護されていないクラウドストレージを標的とする：保護が不十分なオンラインデータストレージを悪用し、警備されていないデジタル金庫を襲撃するような行為を行います。
• Webプラットフォームと開発ツールに侵入し、侵害する：多くの場合、ログイン情報やアプリケーションプログラミングインターフェース (API) キーを盗み出し、貴重なデータを窃取します。
• GitHubリポジトリを調査する：企業コードリポジトリを精査して悪用可能な欠陥を探し、不正なデータベースアクセスを可能にする可能性があります。
• 秘密ネットワークを介して収益化する：盗んだデータを不明瞭なインターネットマーケットプレイスで取引して利益を得て、違法な情報を求める購入者に対応します。

なぜこれらのインシデントが発生するのでしょうか？

攻撃者は、情報窃取マルウェアを使用してSnowflakeの従業員からログイン認証情報を取得したとされています。アクセス権を取得した後、攻撃者は盗まれた認証情報でセッショントークンを作成しました。その後、これらのトークンはSnowflakeのシステムから大量の顧客データを抽出するために利用されました。

攻撃以来、Snowflakeは、プラットフォーム内の脆弱性や設定ミスに関するいかなる指摘も否定し、侵害はSnowflake側のセキュリティ上の過失ではなく、侵害された顧客の認証情報に起因すると主張しています。さらに悪いことに、侵害された対象アカウントには多要素認証（MFA）が設定されておらず、攻撃者は正当な信頼されたユーザーであるかのようにログインできてしまいました。

Mandiantのインシデント後のレポートによると、標的となったアカウントにMFAセキュリティ制御が導入されていなかっただけでなく、キャンペーンで使用された認証情報の一部は1年前に侵害されていました。このことは、特定のユーザー、そのID、および関連する認証情報が、不正アクセスを許し、数億件もの顧客記録の壊滅的な盗難につながるほど「信頼されている」と見なされていることに対し、厳格な監視が求められていることを浮き彫りにしています。

ほとんどの組織では、パスワードは依然として広く使用されており、今後もしばらくはセキュリティの主要な要素であり続けるでしょう。問題は、パスワードが依然として信頼できる認証方法として使用できるかどうかです。

組織は、認証情報の窃盗による侵害のリスクを軽減するため、ゼロトラストのアプローチを通じてサイバーセキュリティを強化するパスワードレスソリューションをますます導入しています。パスワードのみに依存することは、必要なID保証を提供せず、重大なセキュリティリスクをもたらします。パスワードからの移行に先立ち、強力な認証対策から始めるなど、必要な手順を理解することが重要です。ゼロトラストの実装は、多くの場合、ITインフラストラクチャで選択的に開始され、コストを効率的に管理するためにテクノロジーのリフレッシュサイクルに合わせて徐々に拡大されます。ゼロトラストを受け入れ、パスワードレスに移行することは、サイバーセキュリティ防御を強化し、重要なリソースをより効果的に保護するための最優先事項であるべきです。

何ができるでしょうか？

現実として、ユーザー認証情報はデジタルセキュリティの最も重要な資産であり、厳格な保護が求められます。2024年Verizonデータ侵害レポートは、侵害の68%が人為的ミスに起因し、設定ミスや関連する問題が3分の1の原因となっていると指摘しています。これらの統計を考慮すると、社内ネットワークにおけるユーザー活動の正常なパターンを確立するセキュリティ対策に投資することが不可欠です。この戦略により、セキュリティ担当者は異常な行動を迅速に特定し、潜在的な脅威が本格的な侵害に発展する前に対処できるようになります。

現在の脅威環境では、侵害が発生するかどうかではなく、いつ発生するかの問題です。世界中でどれほど多くの注目度の高いセキュリティインシデントが機密データの侵害を伴っているかを考えると、包括的なデータ認識型セキュリティプラットフォームへの投資を優先することが極めて重要です。さらに、組織全体でセキュリティ意識の高い考え方を醸成することも不可欠です。セキュリティは全員の責任であり、セキュリティチームに限定されるものではありません。

MFAは強固なセキュリティの基盤となる要素であり、可能な限り使用されるべきです。Ticketmasterの侵害は、有効な静的認証情報（ユーザー名とパスワードの組み合わせ）が侵害され、悪用されて、標的組織のインフラストラクチャ（オンプレミスまたはクラウド、今回のSnowflakeのクラウドベースプラットフォームのように）へのアクセスを獲得できることを示すもう一つの例です。

Ticketmasterのデータ侵害および関連するインシデントは、ゼロトラストアーキテクチャの採用の重要性を強調しています。このインシデントは、組織がSaaSアプリケーションセキュリティを全体的なセキュリティ戦略に統合することを怠っているという業界における広範な問題を反映しています。シングルサインオン（SSO）やその他のアクセス管理ツールが導入されているにもかかわらず、静的認証情報は依然として脅威アクターの標的となっており、組織の重要なデータ資産を狙う悪意のあるアクターに対して正面玄関を大きく開けたままにしています。

サイバー犯罪者が従業員の認証情報を盗もうとする場合でも、悪意のある内部関係者が企業データを不正に取得しようとする場合でも、これらの悪意のあるアクターは通常、ユーザーが行うこと、つまりログインすることからプロセスを開始します。そのため、ゼロトラストは継続的な認証とポスチャチェックを活用します。これには、最初の認証ポイントを超えて、ユーザー（または要求元エンティティ）のコンテキスト、ステータス、およびアクティビティを監視することが含まれます。

有効で検証済みの認証に加えて、クラウドアプリケーション、サービス、またはプラットフォーム内のデータがセキュリティおよびデータ使用ポリシーに従って処理および使用されていることを確認するために、他にどのようなツールやプロセスを使用していますか？ここで、Web、クラウド、Private Access (ZTNA)、およびデバイス全体でのデータ保護の統合が重要になります。Skyhigh Securityは、これをインラインData Loss Prevention (DLP) を使用した詳細なデータ検査と分類とともに提供し、機密データの不適切な取り扱いを防止しながら、リモートユーザーがあらゆる場所、あらゆるデバイスから共同作業できるようにします。最も一般的なチャネル全体でDLPと脅威保護を統合することで、セキュリティチームは機密データに対するエンドツーエンドの可視性と制御の恩恵を受けられます。

参照：

• https://cloud.google.com/blog/topics/threat-intelligence/unc5537-snowflake-data-theft-extortion
• https://www.wired.com/story/epam-snowflake-ticketmaster-breach-shinyhunters/
• https://www.theregister.com/2024/06/04/snowflake_report_pulled/