2026年5月12日更新: GTIGの2026年5月版AI脅威トラッカーでは 、この傾向がAIインフラにも及んでいることが示されています 。 組織と複数のモデルプロバイダーを接続するAIゲートウェイ「LiteLLM」に対するTeamPCPによる侵害では、ビルド環境からクラウドアクセスキーが流出しました。しかし、LiteLLMはAIゲートウェイであるため、GTIGは、この侵害により攻撃者が被害者のAIシステムへのアクセス権も得たと指摘しています。これにより、大規模なデータの特定や流出、あるいはネットワークのより深部への侵入が可能になる恐れがあります。サプライチェーンの経路は現在、AIインフラストラクチャを通るようになっており、そこで付与されるアクセス権は従来の統合よりも広範囲に及んでいます。
---
2026年4月4日、Anodotは自社のSnowflake、Amazon S3、およびAmazon Kinesisコネクタで広範囲にわたる障害が発生したと報告した。4月7日までに、BleepingComputerは、Anodotから盗まれた認証トークンが、Anodotの顧客環境十数カ所以上にわたってデータへのアクセスに使用されていると報じた。 4月11日までに、ShinyHuntersは自社のリークサイトにRockstar Gamesの名前を掲載し、4月14日を期限として設定した。期限が過ぎた後、データの一部が流出していた。
これは2年間で2件目となる、Snowflakeに関連する大規模なデータ窃取事件であり、侵入経路はユーザーのアカウント侵害や認証情報の漏洩ではなかった。あるSaaS連携プロバイダーが侵害され、認証トークンが盗み出され、そのトークンを利用して複数の顧客環境にまたがるデータへのアクセスが行われた。
外見上は、何も異常は見られない。関係するシステムは想定通りに動作していた。アクセスは正当な手段を通じて許可され、活動も正規の経路を通っていた。だからこそ、この種のインシデントは、本来あるべき対応を引き起こすことなく、繰り返し発生し続けているのだ。
これはSnowflakeの話ではありません
マンディアントがUNC5537として追跡した2024年の事件を振り返ると、その手口はすでに見慣れたものとなっています。攻撃者は、情報窃取型マルウェアのログから収集した盗まれた認証情報を使用してSnowflakeインスタンスにアクセスし、直接データにアクセスしました。標的となったアカウントのいずれも、多要素認証(MFA)が有効化されていませんでした。使用された認証情報の79.7%は、以前に情報窃取型マルウェアによる流出が確認されていたものでした。
2026年に変わったのは、結果ではなく、その道のりである。
以前の事件では、攻撃者は認証情報を使って侵入し、トークンを利用して居座り続けました。一方、Anodotの事件では、攻撃者は最初からトークンを利用していました。
直接アクセスは、統合機能を通じた間接アクセスに取って代わられました。攻撃者はもはや、明らかな痕跡を残すような方法で環境とやり取りする必要がなくなりました。プラットフォームは、問題の発生源ではなく、一連のプロセスの最終段階となるのです。
これは、最近のサプライチェーン関連のインシデントで既に確認されている傾向と一致しており、初期の侵害そのものよりも、その後のアクセス権の悪用方法の方がはるかに重要である。
これをSnowflake固有の問題と捉えるのは、根本的な変化を見落としていることになる。SaaS、クラウドストレージ、データプラットフォームの各分野で、同様の傾向が見られている。共通の要因はベンダーではない。システム間でアクセス権が付与され、再利用される仕組みにあるのだ。
サプライチェーンは現在、運用段階に入っています
かつて、システム連携は単なる「配管工事」のようなものと見なされていました。連携によってデータが移動し、ワークフローが自動化され、そうでなければ孤立したままだったシステム同士が結びつけられるのです。
実際には、これらは現在、分散型アクセス層として機能している。
1つの統合機能は、有効期間が長いトークンを保持し、複数の環境で動作し、ユーザーやサービスに代わってアクションを実行することができます。その統合機能が侵害された場合、攻撃者は新たな足場を築く必要はありません。すでに存在し、信頼されている足場をそのまま引き継ぐことができるからです。
サプライチェーンへの侵害においても同様のパターンが見られ、信頼された環境内での実行が即座に有効なアクセス権へと変換され、それがシステム間で再利用されるという状況が生じています。
そのアクセス範囲は、多くの場合、以下の領域に及びます:
- データプラットフォーム
- ストレージシステム
- SaaSアプリケーション
これらのシステム間を移動するのに、新たな手法は必要ありません。それは、企業が日々利用しているのと同じ経路をたどるだけです。
その時点で、攻撃者が横方向の移動を行う必要はなくなります。アーキテクチャが自動的にそれを代行してくれるからです。
トークンは、最後の障壁を静かに取り除いた
認証情報からトークンへの移行は目立たないものですが、 アクセスの仕組みそのものを変えることになります。
トークンは、永続性と自動化を目的として設計されています。トークンは一度発行されると、繰り返し認証を行うことなく再利用されます。トークンはAPIを通じて動作し、多くの場合、ユーザーの操作を必要とせず、パスワードの更新やセッションのリセットよりも長く有効である傾向があります。
多くの環境では、これらも 十分に追跡されていない。ログインイベントは厳重に監視されているが、トークンの使用状況は往々にしてバックグラウンドの活動として扱われている。
2024年のSnowflake関連の侵入事件において、ある攻撃者は、無視できないような表現で状況を説明していた:
どのアカウントの「masterToken」も持ってるから、まだコマンドを実行できるんだ 🤣
Ellyel8
重要なのは、その引用文そのものではありません。重要なのは、そのアクセス権がどのように維持されていたかという点です。攻撃者は、公開されているドキュメントを読むことで、トークンの動作原理を理解し、アカウントが保護された後も、そのトークンを利用してアクセス権を維持し続けたのです。
攻撃者を排除しても、アクセス権は解除されなかった。
その結果、是正措置が講じられた後もアクセスが継続できる状況が生じます。ユーザーアカウントは保護された状態になる一方で、連携機能に紐付けられたトークンは有効なままとなり、これまでと同様のアクセス権限を提供し続けます。
攻撃者の視点から見れば、これは マルウェア伴う手法よりも、より洗練されており、信頼性の高い持続化の手法である。
そのアカウント(前述の「まだコマンドを実行できる」という発言をしたアカウント)は、2024年11月にカナダで逮捕されたコナー・ライリー・ムッカによって運営されていた。彼の公判は2026年10月19日に予定されている。彼が自慢していたアクセス権は、逮捕後も維持されていた。なぜなら、トークンはそれを発行した運営者に依存しないからである。
なぜこの活動が溶け込んでいるのか
検知の観点から見ると、ここには従来の侵入攻撃に似た要素はほとんど見られない。
環境の状態は、通常の運用状況と一致しています:
- 認証イベントは有効です
- API呼び出しは想定されたパターンに従います
- 統合機能は、想定された範囲内で動作する
欠けているのは、システム間でそれらの行動をつなぐ文脈です。
単独で見れば妥当に見えるデータへのアクセスも、別のプラットフォームでの活動と併せて見ると不審なものに映ることがあります。統合機能で使用されるトークンは、過去の動作パターンとは異なる方法でデータへのアクセスを開始するまでは、一見無害に見えることがあります。
ほとんどのツールは、システム間でその全体像を把握できるように設計されていません。それらは単一のドメイン内で動作するため、個々のアクションの妥当性は確認するものの、それらのアクションが互いにどのように関連しているかについては、ほとんど検討しないのです。
その隙を突いて、この種の攻撃が行われるのです。
単発の出来事ではなく、繰り返される傾向
この活動は、「ShinyHunters」という恐喝グループと関連付けられており、同グループは、運営上独立した複数のチームを横断して、盗んだデータを大規模に金銭化している。具体的な実行犯が誰であるかよりも、その手口の一貫性の方が重要である。
Resecurityの2026年1月の調査報告書では、「ShinyHunters」を共同の別名として説明している。同報告書は、「この名称は、犯行の帰属を曖昧にしようとする犯行グループ自身によって、意図的に頻繁に変更されている」と指摘している。 GTIGは、少なくとも3つの別々のクラスターにまたがる現在の活動を追跡している。UNC6240はこのブランド名の下で恐喝活動を行っている。UNC6661とUNC6671は、2026年1月にIDプロバイダーを標的とした並行するフィッシングキャンペーンを展開したが、登録業者(NICENICとTucows)が異なり、恐喝の口調も異なることから、別々のオペレーターによるものと推測される。Anodot/Snowflakeの活動も、運用面ではまた別物である。ブランドは同じだが、チームは異なる。
これらに共通しているのは、その手口の定義そのものです。つまり、標的はインフラではなく、認証情報なのです。広く利用されている統合プラットフォームのトークンにアクセスできるオペレーターであれば、誰でも同じ結果を再現することができます。相互接続されたSaaSサービスに依存する組織が増えるにつれ、間接的なアクセス経路の数は増え続けています。
また、こうしたアクセス権の再利用が、より自動化され、自己増殖的な形態へと発展し、侵害された信頼関係を利用して、直接的なやり取りなしに攻撃範囲を拡大するようになることも確認されています。
同時に、攻撃者は、労力が少なく、痕跡も残りにくい手法へと移行しつつあります。サードパーティプロバイダーを侵害したり、トークンを大規模に収集したりすることは、個々の環境への侵入を試みるよりも高い利益をもたらします。これが、サプライチェーンを標的としたインシデントが増加している理由です。こうした手法は、現代の環境の構築方法に合致した、広範な影響力、一貫性、そして高度なステルス性を備えているからです。
その攻撃は隠されているわけではない。断片化されているのだ。
セキュリティチームは、こうした動きを見逃しているわけではありません。彼らは毎日、その一部を目撃しています:
- アイデンティティ・プラットフォームは、認証の成功を記録します。
- あるSaaSアプリケーションは、有効なAPIの利用状況を記録します。
- データプラットフォームには、予想されるクエリとエクスポートが表示されます。
どのシステムも、自らが観察した事象を検証する。しかし、それらの行動を結びつけるシステムは一つもない。
そこがこのモデルの弱点となる。
攻撃者は、すべての制御手段をすり抜ける必要はありません。必要なのは、各制御手段が、その担当する活動の一部のみを検証するようにすることだけです。トークンを使えば、それが容易になります。システム間の連携により、その仕組みはシステム全体に広がります。このパターンが形成される頃には、通常は一緒に分析されることのない複数の領域にまたがって存在することになります。
だからこそ、データが依然として環境外に流出しているにもかかわらず、こうした事象は収束したかのように感じられるのです。
どうすればいいか
2024年の「Snowflake」キャンペーンに対する従来の対策(クラウドアカウントへの多要素認証(MFA)の適用、盗まれた認証情報のローテーション、データウェアハウスのネットワーク許可リストへの登録)は依然として有効ですが、これらはもはやこのアクセス経路をカバーしていません。ベンダーが発行するサービストークンにはMFA要素が含まれていません。顧客はこれらをローテーションできず、ベンダーのみが変更可能です。2024年のセキュリティ強化プレイブックは、2024年の手口に対する防御策となります。 2026年の手口には、別の対策層が必要です。
このレイヤーは、各プリンシパル(ユーザー、サービスプリンシパル、OAuthクライアント)が時間の経過とともに実際に行う動作を基準としており、複数の軸で同時にパターンが変化した際にトリガーされます。
自分の置かれている環境について問いかけるべき3つの質問:
- テナントを跨ぐ認証済み読み取りアクセス権を持つサードパーティ製SaaSとの各連携について、プリンシパルごとに基準値を設定した上で、その通常のAPI呼び出し頻度やリソースの利用パターンを把握していますか?
- 各ベンダートークンは最後にいつ確認されましたか?
- 各機器は、ベンダーによって最後にいつローテーションされましたか?
Vectra AI AIのeBook 「 Mind Your Attack Gaps 」では、本キャンペーンが悪用している「認証成功」の脆弱性について解説しています 。サプライチェーン攻撃の手口がお客様の環境にどのように当てはまるかについて、1回の対話で詳しくご説明いたしますので、お気軽にお問い合わせください。