チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「自社のSnowflakeは多要素認証で守ってるけど、第三者ツールから漏れることもあるの?」
「コスト監視のSaaSが攻撃の入り口になるって、どういうこと?」
チップスボス!
GTAで有名なRockstar Gamesが7860万件のデータ漏洩を出されたって聞いたでしゅ。
しかも入り口は別のSaaSツールからだったって…!
ボス「自社のクラウドは堅い」と思っていても、繋がっている第三者SaaSのトークンが奪われれば、全部素通りだ。
SaaS連携の見直しは、もう待ったなしだな。
2026年4月11日、攻撃グループShinyHuntersが、ゲーム大手Rockstar GamesのSnowflake環境への侵入を主張し、4月14日のランサム期限を経てデータをリークサイトに公開しました。
Hackreadの報道によれば、入り口になったのはクラウドコスト監視SaaSの「Anodot」でした。
SaaS連携経由で本体クラウドが落ちる構造と、企業がいま見直すべきトークン管理を解説します。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
ShinyHuntersは2024年のSnowflake大量侵害(Ticketmaster 5億6000万件など)でも知られる攻撃グループです。
Anodotはクラウドコスト監視・分析を行うSaaSで、SnowflakeなどのデータウェアハウスにAPIトークンで接続します。
攻撃者はAnodot側からこのトークンを抜き取り、信頼済みクレデンシャルとしてSnowflake環境にアクセスしました。
Snowflake自体に脆弱性は存在せず、Snowflake側からは「正規ユーザーのアクセス」と区別がつかないため、検知も防御も極めて困難でした。
| 項目 | 内容 |
|---|---|
| 標的 | Rockstar Games(米国ゲーム大手) |
| 攻撃グループ | ShinyHunters |
| 侵入元 | SaaSコスト監視ツール「Anodot」のトークン窃取 |
| 標的システム | Snowflake(データウェアハウス) |
| 主張データ量 | 7860万件(4月14日リークサイト掲載) |
| 企業発表 | 「限定的な非機密情報のみ」 |
ShinyHuntersは過去にもSalesforce連携経由で400以上の組織へ侵入しており、CiscoやEU欧州委員会も被害を受けています。
Rockstarは「限定的な非機密情報」と発表していますが、漏洩量と業界への影響は今後の調査次第です。
チップス正規のトークンで入られたら、ログだけ見ても普通のアクセスにしか見えないってことでしゅよね…!
ボスその通りだ。
「誰がトークンを使っているか」ではなく「どこから、どのデータを、どのくらい引き出したか」を監視しないと検知できない。
守りの軸を変えろ。
本件はSaaS同士の信頼チェーンが攻撃者に「素通り経路」を提供してしまう典型例です。
多くの企業はSnowflake本体には多要素認証やIPホワイトリストを設定していますが、Anodotのような外部SaaSが持つAPIトークンは見落とされがちです。
攻撃者は「本体ではなく周辺から」侵入する戦術を確立しており、SaaS連携の棚卸しと最小権限化が急務になっています。
Snowflakeは2024年以降、ネットワークポリシーやMFA強制機能を強化していますが、外部SaaS側でトークンが漏れた場合、これらは無力です。
SaaS統合の便利さの裏にある「信頼の連鎖」を可視化することが、第二、第三のRockstar事件を防ぐ第一歩です。
チップスうちの会社、Slack連携とかGitHub連携とか、何個入れてるか把握してないでしゅ…。
明日棚卸しリストを作るでしゅ!
ボスいいぞ。
権限の付け過ぎを発見したら、その場で削れ。
「使われていない権限はリスクでしかない」と覚えておけ。
Rockstar Games事件は、Snowflakeのような中核データ基盤がいくら堅牢でも、連携する第三者SaaSのトークンが奪われれば容易に侵入されることを示しました。
SaaS連携の棚卸し、最小権限化、異常クエリ監視の3点を、自社のクラウド資産すべてに対して実施してください。
「信頼の連鎖」を可視化することが、SaaS時代の防御の出発点です。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
