Neiman Marcus

高級小売店のニーマン・マーカスは、最近のSnowflakeデータ盗難攻撃で盗まれた同社のデータベースをハッカーが売却しようとしたため、データ侵害に見舞われたことを確認した。

メイン州司法長官事務所に提出されたデータ流出通知において、同社は、この流出が64,472人に影響を与えたとしている。

「2024年5月、4月から5月にかけて、無許可の第三者がニーマン・マーカス・グループが使用するデータベース・プラットフォームにアクセスしたことが判明しました。当社の調査によると、不正な第三者はデータベース・プラットフォームに保存されていた特定の個人情報を入手しました」とニーマン・マーカスはデータ漏洩の通知で警告している。

「影響を受けた個人情報の種類は個人によって異なり、氏名、連絡先、生年月日、ニーマン・マーカスまたはバーグドルフ・グッドマンのギフトカード番号(ギフトカードの暗証番号は含まず)などの情報が含まれていました。

ニーマン・マーカスは、情報漏洩が発覚した時点でデータベース・プラットフォームへのアクセスを無効にし、サイバーセキュリティの専門家と調査し、法執行機関に通知したと述べた。

ニーマン・マーカスとバーグドルフ・グッドマンのギフトカード番号は流出したが、データには暗証番号は含まれていないため、ギフトカードはまだ有効である。

ニーマン・マーカスは、Snowflakeアカウントからデータが盗まれたことを確認した。

「ニーマン・マーカス・グループ(NMG)は、サードパーティであるスノーフレイクが提供しているNMGが使用しているクラウドデータベースプラットフォームに、不正アクセスされたことを最近知りました。

Snowflakeデータ盗難攻撃との関連

HackManacによって最初に共有されたように、「Sp1d3r」という名の脅威行為者がニーマン・マーカスのデータをハッキングフォーラムで15万ドルで売りに出した後、今回のデータ漏洩の通知がなされた。

この脅威行為者は、最近のSnowflakeデータ窃盗攻撃で侵害された多数の企業のデータ売却の背後にいる。

この脅威行為者は、投稿の中でSnowflakeには言及していないものの、”Raped Flake “を含めており、これは脅威行為者がデータベースプラットフォームからデータを盗むために作成した同名のカスタムツールに言及している。

Neiman Marcus data for sale on a hacking forum
ハッキングフォーラムで販売されるニーマン・マーカスのデータ
ソースはこちら:HacManac

脅威行為者によると、盗まれたデータにはニーマン・マーカスが共有したものに加え、社会保障番号の下4桁、顧客取引、顧客の電子メール、ショッピング記録、従業員データ、数百万件のギフトカード番号が含まれていた。

脅威行為者は、フォーラムへの投稿の前に同社を恐喝しようとしたと主張し、同社が恐喝要求の支払いを拒否したと述べている。

しかし、フォーラムへの投稿が行われた直後に、データサンプルとともに削除されたことから、同社は脅威行為者との交渉を開始した可能性がある。

165の組織がSnowFlake攻撃の影響を受けた可能性が高い

SnowFlake、Mandiant、CrowdStrikeの共同調査により、UNC5537として追跡されている脅威行為者が、盗んだ顧客認証情報を使用して、アカウントに多要素認証保護を設定していない少なくとも165の組織を標的としていたことが明らかになりました。

Mandiantはまた、Snowflake攻撃と、2024年5月以来UNC5537として追跡されている金銭的動機に基づく脅威行為者を関連付けました。この脅威者は、組織に侵入してデータを盗み、データを公開したり他の脅威者に漏らしたりしないように身代金を支払うよう企業に恐喝しようとすることで知られています。

MandiantはUNC5537について多くの情報を公開していないが、彼らが同じウェブサイト、Telegram、Discordサーバーを頻繁に訪問する脅威行為者のコミュニティの一員であることを知った。

Snowflakeのアカウントに侵入するために、脅威者は2020年までさかのぼる情報窃取マルウェア感染によって盗まれた認証情報を使用した。

「影響を受けたアカウントは多要素認証が有効に設定されておらず、認証に必要なのは有効なユーザー名とパスワードのみでした」とMandiantは述べています。

「情報窃取マルウェアの出力で確認された認証情報は、場合によっては盗まれてから何年も経過した今でも有効であり、ローテーションやアップデートが行われていませんでした。影響を受けたSnowflakeの顧客インスタンスには、信頼できる場所からのアクセスのみを許可するネットワーク許可リストがありませんでした。

UNC5537 Snowflake attack timeline
UNC5537 Snowflake 攻撃のタイムライン
Source:マンディアント

SnowflakeとMandiantはすでに、これらの進行中の攻撃にさらされる可能性のある約165の組織に通知している。

これらの攻撃に関連する最近の侵害には、SantanderTicketmasterQuoteWizard/LendingTreeAdvance Auto PartsLos Angeles UnifiedPure Storageが含まれる。