データ分析基盤として多くの企業に採用されているSnowflakeの顧客が、思わぬ経路からデータ窃取被害を受けた。攻撃の起点は自社でもSnowflakeでもなく、SaaS統合プロバイダーという「第三者の連携業者」だった。このインシデントは、現代のクラウド環境が抱えるサプライチェーンリスクの核心を突いている。

何が起きたのか

2026年4月上旬、データ異常検知AIサービスを提供するAnodot(2025年11月にGlassboxが買収)が侵害され、複数のSaaS・クラウドサービスへの認証トークンが窃取された。この窃取されたトークンを使い、攻撃者はSnowflakeを中心とした十数社のクラウドデータ基盤から大量のデータを盗み出すことに成功した。

Snowflakeは「特定の第三者統合サービスに紐付いた、少数の顧客アカウントにおける異常なアクティビティを検知した」と認め、該当アカウントのロックダウンと顧客への通知を行ったことを公表した。同社は自社システムの脆弱性や侵害は一切なかったと強調しており、攻撃ベクターはあくまでも外部統合業者が保持していたトークンだった。

攻撃者はSalesforceへのデータ窃取も試みたが、AIによる検知機能に阻まれ未遂に終わっている。その後、犯行グループとして悪名高いShinyHuntersがBleepingComputerに対し自らの関与を認め、被害企業への恐喝(データ公開をちらつかせた身代金要求)を行っていることが判明した。

なぜこれが重要か——「信頼された接続」の危うさ

このインシデントの本質は、「信頼された統合業者」を経由した横断的なアクセス権の悪用にある。

AnodotのようなSaaS統合プロバイダーは、顧客環境のデータにアクセスするために各種サービスへの認証情報やトークンを保持する。これは業務上必要な仕組みだが、裏を返せば**「統合業者一社を侵害するだけで、そのテナントとして接続しているすべての顧客環境に横断的にアクセスできる」**ことを意味する。

一般的なサプライチェーン攻撃ではソフトウェアパッケージへの悪意ある変更が使われるが、今回は認証トークン窃取という形態だった点が注目に値する。MFA(多要素認証)を突破する必要さえない——有効な認証情報を持っていれば、攻撃者は正規ユーザーとして振る舞える。

実務への影響——IT管理者・エンジニアが今確認すべきこと

1. SaaS-to-SaaS連携の棚卸しを今すぐ行う

自社のSnowflake・Salesforce・その他クラウドデータ基盤に対して、どのサードパーティ統合が認証情報・トークンを保持しているかを把握できているか。多くの企業でこの可視性が欠如している。

  • Snowflakeであれば SHOW INTEGRATIONS;SHOW CONNECTIONS; でOAuth統合の一覧を確認できる
  • 不要になった統合・使用頻度の低い統合のトークンは即座に失効させる
  • 統合に付与されている権限スコープを最小権限の原則に照らして見直す

2. 統合サービスへのアクセスをJust-In-Timeに近づける

常時有効なロングライフのトークン・APIキーを発行し続けるのではなく、短命なトークン(短い有効期限+自動ローテーション)を採用する。Azure AD・AWS IAM・Snowflake OAuth 2.0など、主要基盤はいずれも短命トークンの発行機構を持っている。

3. 異常検知ログを外部依存しない

今回、皮肉なことにデータ異常検知会社自身が侵害の起点となった。異常検知基盤を外部SaaSに丸投げするのではなく、自社の認証ログ(SIEM)でも独立して監視する体制を持つことが不可欠だ。

4. インシデント連絡先を確認する

Payoneerは迅速に「影響なし」を確認できた一方、連絡のつかない企業が複数あった。統合業者側でインシデントが発生した際に自社が迅速に通知を受け取れるよう、契約上の通知義務条項とセキュリティ連絡先の整備を確認しておく。

筆者の見解

今回の事案は、「ゼロトラスト」という概念がまだまだ表層的にしか理解されていない現実を突きつけている。

ゼロトラストの本質は「ネットワーク境界の外に出ない」という古典的な境界防御の否定であり、「誰も、何も、デフォルトでは信頼しない」という継続的検証の思想だ。しかし日本の多くのエンタープライズ環境では、社内境界への接続に対しては過剰な制限を課しつつ、SaaS-to-SaaSの連携については「信頼されたパートナー」として実質的にフリーパスを与えているケースが少なくない。これは新旧のセキュリティモデルが中途半端に混在した状態で、かえって死角を生む。

AnodotはAIによるリアルタイム異常検知という、本来ならセキュリティ向上に貢献すべきサービスを提供していた。その基盤が侵害されたという事実は、ツールへの信頼と、そのツール自体のセキュリティ評価を切り分けて考える必要性を改めて示している。サードパーティの評価は導入時の一度きりではなく、継続的なセキュリティアセスメントであるべきだ。

データへのアクセス権を統合業者に付与する際は、「この業者が侵害されたとき、自社にどのような影響が及ぶか」を契約・設計の段階で真剣に考える。これは面倒なプロセスに思えるが、ShinyHuntersのような組織が連絡してきてからでは遅い。

出典: この記事は Snowflake customers hit in data theft attacks after SaaS integrator breach の内容をもとに、筆者の見解を加えて独自に執筆したものです。