概要

  • 確認されたキャンペーンの範囲:Mandiant は、金銭目的のキャンペーンを UNC5537 に帰属させ、自社が直接対応したすべてのインシデントが、侵害された顧客認証情報に起因すると述べました。同社は、不正な顧客アクセスが Snowflake のエンタープライズ環境への侵害に起因するという証拠は見つかりませんでした。Snowflake も同様に、この活動を引き起こした自社プラットフォームの脆弱性、設定ミス、または侵害の証拠は見つからなかったと述べました。
  • 観測された制御連鎖:成功したアカウントは多要素認証がなく、過去のインフォスティーラー記録で露出した認証情報を保持し、ネットワーク許可リストもありませんでした。攻撃者はその後、サポートされている Snowflake クライアントと SQL 操作を使用してデータを列挙し、ステージングし、圧縮し、ダウンロードしました。約 165 の組織が潜在的に影響を受けたとして通知されましたが、これは確認された侵害件数、人数、またはレコード数ではありません。
  • 共有責任に関する調査結果:顧客は、ユーザー、ロール、パスワードローテーション、MFA 登録、ネットワークポリシー、エンドポイント衛生、データ最小化を管理していました。Snowflake は、どの保護機能が存在するか、それらがどのように提示されデフォルト設定されるか、プラットフォームがどのような顧客間シグナルを確認できるか、そして警告とより強力なベースライン動作がどの程度迅速にインストールベースに到達するかを管理していました。これらの責任は同時に発生するものであり、相互排他的ではありません。
  • データ主権に関する調査結果:Snowflake リージョンを選択すると、アカウントストレージとコンピューティングの場所が決まります。Snowflake のドキュメントには、それがユーザーアクセスを制限するものではないと明示されています。このキャンペーンでは、有効な ID を使用して、リージョンに保存されたデータセットをダウンロードされたコピーに変換できました。ID、エグレス、エビデンス管理のないデータローカリティは、配置の決定であり、完全な主権管理ではありません。

プラットフォームは侵害されていなかったが、サービス関係が試された

このケースにおける最初の規律は語彙です。Snowflake の顧客インスタンスは、Snowflake 自身のエンタープライズ環境や共有本番プラットフォームと同じではありませんでした。有効な認証情報を持つ人物は、他のテナントに侵入したり、ソフトウェアの脆弱性を悪用したり、プロバイダーの管理者アカウントを取得したり、顧客を分離するインフラストラクチャを破壊したりすることなく、1 つの顧客アカウントに侵入できました。公開された証拠は顧客アカウントの侵害を裏付けています。プラットフォーム全体の技術的侵害は裏付けていません。

Mandiant のUNC5537 キャンペーンレポートは、その点について異例なほど直接的です。Mandiant 自身が対応したこのキャンペーンに関連するすべてのインシデントについて、根本原因は侵害された顧客認証情報でした。調査では、顧客アカウントへの不正アクセスが Snowflake のエンタープライズ環境の侵害に起因するという証拠は見つかりませんでした。Snowflake 自身の調査および強化通知でも、標的となった顧客アカウントを本番プラットフォームから分離し、顧客が自身の環境を調査するためのクエリとインジケーターを提供しました。CISA は 2024 年 6 月 3 日のアラートでそのガイダンスを強化しました。

この否定的な調査結果は重要です。このイベントを Snowflake のプラットフォーム侵害と呼ぶことは、共有コードやインフラストラクチャの欠陥がすべてのテナントを開放したこと、または Snowflake が顧客のロックを解除するマスター認証情報を失ったことを示唆する可能性があります。検討された記録はそのどちらも確立していません。また、顧客が直ちに取るべき措置を曖昧にします:パスワードのみのユーザーを特定し、認証情報をローテーションし、ログインとクエリ履歴を調査し、ネットワークを制限し、ロール権限を減らし、証拠を保存すること。

反対の誤りは、プラットフォーム侵害の不在をプロバイダーの説明責任問題の不在として扱うことです。クラウドサービスは、顧客が単にビットを置く中立的なディスクではありません。Snowflake は、認証情報を受け入れる認証エンドポイント、攻撃者が使用するインターフェース、コマンドを処理するクエリエンジン、セッションを記録するテレメトリ、そして第二要素を要求したりネットワーク起点を制限したりできた製品コントロールを構築・運用していました。Snowflake はまた、個々の顧客が持つことのできない顧客間の可視性を持っていました。決定的な管理が顧客によって設定可能であるという事実は、誰がそれを設定する運用上の義務を負っていたかを決定します。それは、プロバイダーのデフォルト、警告、検出、強制がサービス上のデータ集中に見合っていたかどうかには答えていません。

Snowflake の 2025 会計年度Form 10-Kは、その立場を正式化しています。Snowflake はプラットフォームと基盤となるクラウドインフラストラクチャのセキュリティに責任を負い、顧客は環境の管理を選択・設定すると述べています。2024 年 5 月のアクセスを、顧客が MFA やネットワークポリシーなどの義務を果たさなかったことに帰し、訴訟、規制調査、議員からの問い合わせ、風評被害、補償紛争の可能性を記録しています。これは、Snowflake の表明されたモデルとビジネスエクスポージャーに関する重要な企業の証拠です。すべての責任や法的請求が顧客側にあるという独立した裁定ではありません。

したがって、有用な質問は「誰が侵害されたのか?」よりも狭く、「誰のパスワードが盗まれたのか?」よりも広いです。それは、盗まれた秘密からダウンロードされたデータまでの各ステップで、どのアクターがそのアクションを防止、検出、中断、再構築、または警告できたのか?ということです。説明責任は、それらのステップに対する管理から生じます。

キャンペーンは古いエンドポイントの窃取と現在のクラウド権限を結びつけた

Mandiant は 2024 年 4 月に、後に被害者の Snowflake インスタンスに由来するデータベースレコードに関する脅威情報を初めて入手しました。その被害者は Mandiant に依頼し、侵入者がインフォスティーラーマルウェアによって以前に盗まれた認証情報を使用したと結論付けました。関連するアカウントでは MFA が有効になっていませんでした。5 月 22 日、より広範なキャンペーンを示す情報を特定した後、Mandiant は Snowflake に連絡し、潜在的な被害者への通知を開始しました。Snowflake は 5 月 30 日に顧客向けの検出および強化ガイダンスを公開しました。6 月のレポートまでに、Mandiant と Snowflake は潜在的に影響を受けた約 165 の組織に通知していました。

この最後の文のすべての用語は、誇張から保護される必要があります。「約」は推定値を示します。「潜在的に影響を受けた」は通知対象集団を表し、165 件の完了したフォレンジック調査結果ではありません。「組織」はアカウント、データベース、人、またはレコードを意味しません。一部の組織は複数の Snowflake アカウントを運用している可能性があり、1 つのアカウントにはるかに大きな母集団に関するデータが含まれている可能性があります。レポートは、キャンペーン全体で確認された組織、影響を受けた個人、エクスポートされたバイト数、または恐喝支払いの総数を提供していません。

認証情報の履歴は、2024 年のクラウドログインが数年前のエンドポイント感染から始まる理由を説明しています。Mandiant は、UNC5537 が使用したほとんどの認証情報が過去のインフォスティーラー出力に存在し、最も古い関連感染は 2020 年 11 月に観測されたことを発見しました。攻撃者が使用したアカウントの少なくとも 79.7%に、以前の認証情報の露出がありました。この割合は、分析されたキャンペーンで攻撃者が使用したアカウントに適用されるものであり、すべての Snowflake 顧客や通知を受けた 165 組織に適用されるものではありません。

露出した秘密を有効なアクセスに変えたのは、繰り返し発生した 3 つの条件です。影響を受けたアカウントは MFA で構成されていませんでした。インフォスティーラー記録で見つかったパスワードは、時には数年間有効なままでした。影響を受けた顧客インスタンスには、信頼できる送信元への接続を制限するネットワーク許可リストがありませんでした。これらの条件はいずれも新しいエクスプロイトではありません。これらが組み合わさって、永続的な承認経路が形成されました:アカウントロケーター、ユーザー名、そしてまだ有効なパスワードを知り、攻撃者が管理するシステムから接続し、セッションを受け取り、割り当てられたロールを継承し、そのロールが読み取れる可能性のあるすべてのものをクエリします。

エンドポイントの次元も、従来の従業員のラップトップの物語が示唆するよりも分散していました。いくつかの調査で、Mandiant は、ゲームや海賊版ダウンロードを含む個人的な活動にも使用されていた請負業者のシステムで以前のインフォスティーラー感染を発見しました。請負業者のデバイスは、顧客の管理対象エンドポイントフリートの外にありながら、複数のクライアントの認証情報を保持することができます。また、専門請負業者がデータプラットフォームの構築や運用のために雇われることが多いため、管理者アカウントを保持することもできます。ユーザーを作成した顧客は、引き続きその ID と権限に対して責任を負いますが、露出は顧客自身のエンドポイントツールには見えない場合があります。

これはクラウド依存性の乗数です。認証情報は、おそらく Snowflake やデータ所有者のフリートの外にある 1 つのエンドポイントから盗まれます。その認証情報はグローバルサービスによって受け入れられます。ロールは、複数のビジネスシステムからの何年分ものレコードを含む統合ウェアハウスに到達する可能性があります。攻撃者は、これらのソースシステムを 1 つずつ侵害する必要がなくなりました。ウェアハウスを顧客にとって有用にした分析価値は、アクセスの成功を恐喝者にとっても価値あるものにしました。

攻撃者は、認証情報の窃取、購入、テスト、使用、許可なく顧客環境に侵入すること、データを持ち出すこと、販売や恐喝を試みることに対する直接的な責任を負います。これらの犯罪を可能にした管理の失敗を説明することは、その責任を薄めるものではありません。同じ犯罪手法が大規模に成功した理由と、再発を減らすことができる場所を説明するものです。

サポートされた機能が流出経路になった

キャンペーンは認証で止まりませんでした。Mandiant は、Snowsight、SnowSQL、ドライバー、データベースツールを介したアクセスを観測しました。攻撃者は、ユーザー、ロール、セッション、組織名、データベース、スキーマ、テーブルをリストアップしました。使い慣れた SQL 操作を使用してデータを選択し、一時的なステージを作成し、クエリ出力を圧縮ファイルにコピーし、それらのファイルをローカルマシンに取得しました。いくつかのインスタンスでは、異なる顧客環境で同様のコマンドが現れました。

この一連の流れにより、インシデントは不正な ID の下で使用される通常の機能として読み取ることができます:

  1. 有効な顧客のユーザー名とパスワードがセッションを確立した。
  2. そのセッションは、顧客によって割り当てられたロールとオブジェクト権限を継承した。
  3. 偵察により、価値のあるテーブルと利用可能なステージが特定された。
  4. クエリは、ロールが読み取りを許可されていたレコードを選択した。
  5. 一時的なステージングとCOPY INTOにより、結果がダウンロード可能なファイルに変換された。
  6. GETにより、ファイルが攻撃者が管理するクライアントに移動された。

この連鎖のどのステップも、データベースの誤動作を必要としませんでした。これが、保存時の暗号化が必要ではあるものの、決定的な管理ではなかった理由です。Snowflake のエンドツーエンド暗号化のドキュメントでは、顧客データは保存時に暗号化され、転送中は TLS で保護されると述べられていますが、Snowflake は変換やテーブル操作の実行中にデータを復号し、ユーザーが結果をアンロードしてダウンロードすることを許可していると説明しています。暗号化は、権限や鍵を持たない当事者からファイルや転送を保護します。受け入れられた ID と許可されたロールが、サービスに読み取り可能な結果を返すように要求することを防ぐものではありません。

同じ原則が顧客管理キーにも適用されます。キー管理は、プロバイダー、ストレージ、失効のシナリオに対処できますが、実行中のアカウントは、認可されたクエリを提供するためにキー階層を使用する必要があります。キーポリシーがセッションや操作を拒否する別の決定に結び付けられていない限り、データベースはアカウント所有者と、所有者の構成された認証ポリシーを満たした侵入者とを区別できません。

したがって、ロール設計がログイン後の範囲を制御しました。Snowflake の現在のアクセス制御モデルは、ロールベースおよび任意アクセス制御、所有権、ロール階層、オブジェクト権限をサポートしています。狭いデータベースまたはビューにのみ割り当てられた認証情報は、ACCOUNTADMIN、広範なウェアハウス使用、または生データセット全体にわたる選択アクセスを保持するものとは異なる結果をもたらします。統合によって使用されるサービスアカウントは、人間の管理者の探索的範囲を継承すべきではありません。請負業者の一時的なロールは、有効なパスワードで休眠状態のままにするのではなく、契約とともに期限切れになるべきです。

データ保護ポリシーは、ロールが侵害された場合でも結果を狭めることができます。Snowflake の機密データ分類のドキュメントは、個人データおよび機密データの列の発見をマスキングおよび行アクセスポリシーと結びつけています。これは現在の機能の説明であり、2024 年に影響を受けたすべての顧客がデータを分類またはマスクしていたという証拠ではありません。設計上の質問を確立します:顧客は、集計、最近のパーティション、トーク化されたフィールド、または承認されたビューのみを必要とする ID に、完全な履歴テーブルを露出させていたのか?

エクスポート自体が特権的なビジネス機能であり、そのように管理されるべきです。データウェアハウスは、正当なパイプライン、バックアップ、モデルトレーニング、ダウンストリームシステムのために、しばしばバルクアンロードを必要とします。全面的な禁止はめったに現実的ではありません。しかし、ステージの作成、異常に大きな結果のアンロード、または見慣れないクライアントやネットワーク起点の使用は観測可能であるべきであり、高リスクのデータセットについては、承認、レート制限、宛先制限、短期の権限昇格、または別のエクスポートロールを正当化する可能性があります。キャンペーンのコマンドは実行するのに十分通常的でしたが、文脈上は迅速なセキュリティ判断に値するほど異常でした。

顧客は設定を所有し、Snowflake はベースラインを所有していた

MFA は、双方が真実の事実を述べることができるため、最も鋭い共有責任のテストです。顧客の管理者はそれを有効にすることができ、期待されていました。Snowflake は 2015 年から MFA を、2016 年からネットワークポリシーを提供していました。同時に、2024 年に成功したアカウントは MFA なしで認証できました。これは、サービスの有効なベースラインが、それらのアカウントに対してパスワードのみの経路を許可していたことを意味します。

可用性と強制の違いは意味論的なものではありません。セキュリティ機能は、無料で、文書化され、推奨されていても、重要なセッションに存在しない可能性があります。管理者は、古い統合、非対話型のサービスユーザー、請負業者、緊急用アカウント、複数のクライアント、ロックアウトの恐れに直面します。これらの制約は導入の摩擦を説明しますが、特権的な人間のアクセスを使い回し可能なパスワードに依存したままにすることは正当化しません。また、プロバイダーに、移行ツールを構築し、人間の ID とサービスの ID を分離し、例外を明示的にするために必要な情報を提供します。

キャンペーンの後、Snowflake の公の方向性は推奨からより強力なデフォルトへと移行しました。2024 年 7 月のSecure by Design の誓約発表では、MFA ポリシー制御と Trust Center チェックが強調されました。2024 年 9 月、Snowflake は、2024 年 10 月から作成されるアカウントにおいて、人間のユーザーに対してMFA がデフォルトで強制されると述べ、人間には ID プロバイダーの MFA による SSO を、サービスには OAuth またはキーペア認証を推奨しました。新規アカウントと既存アカウントの区別は重要です。安全なデフォルトは将来の作成を保護しますが、インストールベースに継承されたすべてのパスワード経路を自動的に廃止するわけではありません。

Snowflake は後に、脅威インテリジェンスフィードを使用して、報告された漏洩パスワードをプライバシーを保護するプロセスでテストし、パスワードがまだ有効であることが確認された場合に無効にするLeaked Password Protectionを導入しました。このプロバイダー側の制御は、UNC5537 の利点の 1 つである、使用可能なままの古いインフォスティーラーの認証情報に直接対処します。これは、共有責任が進化できることの証拠でもあります。顧客は依然として ID とローテーションを管理する必要がありますが、プロバイダーはクロスサービスインテリジェンスを使用して、各顧客が独自に発見する前に、盗まれたパスワードの動作を停止させることができます。

現在の認証ポリシーのドキュメントでは、管理者が許可される方法とクライアントを制御し、アカウントレベルまたはユーザーレベルで MFA を要求することができます。また、クライアントタイプの制限はベストエフォートであり、唯一のセキュリティ境界とすべきではないと警告しています。現在のキーペアガイダンスは、サービスユーザーに静的パスワードの代替手段を提供します。これらのページは 2026 年までに利用可能な機能を説明しており、2024 年 4 月のすべての顧客に対する正確な機能、デフォルト、強制状態の証拠として読み戻されてはなりません。

標準は、プロバイダーのデフォルトが分析の中に含まれる理由を説明するのに役立ちます。NIST の現在の認証および認証子管理ガイダンスは、パスワードを再送信耐性がないものとして扱い、フィッシング耐性をユーザーの注意深さに依存しないプロトコル特性と定義しています。2024 年のCISA Secure by Design の誓約は、ソフトウェアメーカーが MFA の使用を測定可能に増加させる方法として、デフォルト MFA、永続的な製品のナッジ、ベースライン SSO サポート、導入指標の公開を特に特定しています。Snowflake はキャンペーンの後にこの任意の誓約に署名しました。誓約は Snowflake の 2024 年の設計に対する法的判断ではありませんが、チェックボックスを提供することがプロバイダーの役割を尽くしたという考えを拒否しています。

説明責任のあるベースラインは、ID タイプを区別します。人間の管理者は、フィッシング耐性のある MFA または強力に管理されたフェデレーテッド ID を使用する必要があります。サービスワークロードは、ロボットがプッシュ通知に応答できるふりをすることなく、スコープ化、ローテーション、帰属が可能なワークロード認証情報を使用する必要があります。緊急アクセスは、まれで、監視され、時間制限があり、テストされるべきです。請負業者の ID には、所有者、有効期限、承認されたデバイスポスチャー、クライアント間の認証情報再利用なしが必要です。すべての例外は、分母がアクティブな従業員だけでなくすべての ID であるダッシュボードに表示されるべきです。

ネットワークポリシーは第二のゲートであり、ID の代替ではない

Mandiant の 3 つ目の繰り返しの要因は、ネットワーク許可リストの不在でした。したがって、有効な認証情報は、顧客のウェアハウスに到達するビジネス上の理由がないインフラストラクチャから使用される可能性がありました。ネットワーク制限は盗まれたパスワードを修復しませんが、信頼できない送信元からそのパスワードを不十分にすることができます。

Snowflake の現在のネットワークポリシーのドキュメントは、デフォルトを明示しています。ポリシーがない場合、ユーザーは任意のコンピューターまたはデバイスから接続できます。顧客は、IP 範囲とプライベートエンドポイントを許可またはブロックし、アカウントレベルまたはユーザーレベルで制御を適用し、追加構成で内部ステージアクセスを制限できます。プライベート接続とパブリックアクセス制御は、高機密性アカウントをさらに強化できます。

顧客は、承認されたオフィス、クラウドワークロード、VPN、請負業者、統合エンドポイントを把握しているため、顧客が使用可能な許可リストを定義する必要があります。Snowflake は、ビジネスを中断させることなく、すべての正当な起点を推測することはできません。しかし、プロバイダーは、デフォルトの到達可能性、ポリシー構文、変更のシミュレーション機能、ロックアウト保護、ログ記録、アカウントポリシーが存在しない場合に管理者に警告が行われるかどうかを管理しています。プラットフォームは、無制限のパブリックアクセスを、静的な定常状態ではなく、可視的な期限付きの例外としながら、顧客の選択を維持できます。

ネットワークルールにも限界があります。攻撃者は、承認された請負業者のデバイスからセッションを取得したり、許可された企業 VPN を経由してルーティングしたり、許可されたクラウド内でワークロードを侵害したり、認証後にトークンを盗んだりする可能性があります。大企業は、静的リストを困難にする変更するエグレスアドレスを持っている場合があります。プライベート接続は、それをサポートしていない SaaS ツールを除外する可能性があります。これらは、ネットワーク制御を強力な ID および動作検出と組み合わせる理由であり、省略する理由ではありません。

キャンペーンは、独立したゲートの価値を示しています。パスワードローテーションは過去の認証情報を無効にしたでしょう。MFA は別の要素を要求したでしょう。ネットワークポリシーは見慣れない起点を拒否したでしょう。最小権限は可視データを減らしたでしょう。エクスポート制御はステージングを中断したでしょう。検出は滞留時間を短縮したでしょう。単一の対策が完璧なものはありません。攻撃者は、いくつかの対策が同時に欠如しているか寛容だった場所で成功しました。

説明責任のために、各ゲートには所有者と有効性の尺度が必要です。「ネットワークポリシーがサポートされている」は製品の事実です。「すべての本番アカウントに、サービスと内部ステージをカバーするテスト済みのポリシーがある」は運用上の成果です。「MFA が利用可能」は製品の事実です。「特権を持つ人間が再利用可能なパスワードだけでセッションを確立できない」は成果です。共有責任は、両当事者が自分たちの境界での成果を示せる場合にのみ意味を持ちます。

プロバイダーは各顧客がインシデントとしてしか見えないキャンペーンを見ていた

個々の顧客は、自身の失敗したログインと成功したログイン、クライアント、IP アドレス、クエリテキスト、ロール、ステージ、データ移動を調査できました。Snowflake は、アカウント間のパターンを相関させることができました:同じインフラストラクチャ、異常なクライアント、繰り返される偵察、類似したステージングコマンド、パスワードのみのログインの急増、脅威インテリジェンスフィードと一致した認証情報。この非対称性は、プロバイダーの最も重要な非契約上の責任です。それは、サービスを大規模に運用することによって生み出されます。

Snowflake の現在のLOGIN_HISTORY ビューは、1 年間のログイン試行を保持し、ユーザー、送信元 IP、報告されたクライアント、第一および第二要素、成功、関連するリスク詳細を、文書化されたレイテンシーで含みます。QUERY_HISTORYは、1 年間のクエリアクティビティを保持し、クエリを認証イベント、セッション、ユーザー、ロール、テキスト、結果のバイト数、アンロードされた行、ネットワーク経由で送信されたバイト数に結びつけます。エンタープライズ顧客は、ACCESS_HISTORYを使用して、アクセスされたテーブル、ビュー、列、ステージ、ポリシー、変更されたオブジェクトを再構築できます。これらのスキーマは、高品質の調査のための原材料を提供します。

生の履歴は検出と同じではありません。顧客は、アナリストにアクセスを許可し、データをエクスポートまたはクエリし、通常の動作を理解し、アラートを作成し、それらをルーティングし、必要に応じてネイティブウィンドウを超えて保持し、対応スタッフを配置する必要があります。2 時間のテレメトリレイテンシーは、遡及的なレビューには許容されるかもしれませんが、一部のバルクエクスポートの決定には遅すぎます。列レベルのアクセス履歴に関する Enterprise Edition の境界は、顧客が露出をどれだけ正確に把握できるかにも影響を与える可能性があります。これらの製品および運用上の事実は、調達時にテストされるべきであり、窃取後に発見されるべきではありません。

Snowflake の現在のTrust Centerは、MFA 登録、アカウントネットワークポリシー、特権ロール、休眠ユーザー、危険なサインイン、異常な IP アドレス、大規模なデータ転送をセキュリティおよび脅威インテリジェンススキャナーを通じてチェックします。現在のドキュメントでは、制限事項も述べられています。一部のパッケージを有効にする必要があること、一部の検出が 1 時間以内に到着する可能性があること、構成されたポリシーの存在がその内容が意図された目的を達成することを証明するものではないことです。繰り返しますが、現在の能力は、特定の顧客または Snowflake が 2024 年春に何を検出したかの証拠ではありません。これは、プロバイダーが顧客間の障害パターンが理解された後に製品化できることを示しています。

警告システムは 2 つの層で動作する必要があります。テナント層では、顧客はアクティビティをブロックまたは停止するための即時のエクスポート可能なイベントと制御を必要とします。プロバイダー層では、Snowflake はキャンペーン分析と、行動するのに十分な証拠を顧客に通知するための実践されたプロセスを必要とします。有用な通知には、アカウントおよびユーザー識別子、UTC でのタイムスタンプ、送信元インフラストラクチャ、認証要素、セッションおよびクエリ ID、コマンド、タッチされたオブジェクトと列、ステージングアクション、推定転送量、封じ込めステータス、信頼性が含まれます。「潜在的に影響を受けた」は、潜在性を解決するために必要な証拠が後に続く場合にのみ適切な開始ラベルです。

プロバイダーの介入にもガバナンスが必要です。顧客セッションを自動的にブロックすることは、本番を中断させ、プロバイダーの契約上の権限を超える可能性があります。行動しないことは、継続的な窃取を許す可能性があります。したがって、設計では、リスク閾値、一時的な保留、顧客のエスカレーションチャネル、緊急連絡先、迅速な上書きプロセスを事前に定義する必要があります。顧客は、いつでも重大度の高いアラートを受信し、停止を承認できる人を指名する必要があります。プロバイダーは、クロスアカウントシグナルから顧客への連絡までの時間、封じ込めまでの時間、通知された顧客が完全な証拠パッケージを取得できる割合を測定する必要があります。

データの局所性はアクセスを局所的にしなかった

Snowflake は、顧客がレイテンシー、復元力、プライバシー、規制、主権の要件を持っているため、リージョンデプロイメントをマーケティングし文書化しています。Snowflake のサポートされているリージョンのドキュメントでは、各アカウントは 1 つのリージョンでホストされ、ユーザーが明示的にデータをコピー、移動、またはレプリケーションしない限り、データはそのリージョンに留まると述べられています。同じページには重要な制限が含まれています。リージョンはデータが保存されコンピューティングがプロビジョニングされる場所を決定しますが、Snowflake へのユーザーアクセスを制限するものではありません。

この区別により、UNC5537 の連鎖は主権のケースに変わります。侵入前は、顧客のテーブルは選択された国または地域のクラウドロケーションに保存および処理されていた可能性があります。認証が成功した後、攻撃者はリージョンアカウントに別の場所からクエリを実行し、結果をステージングし、クライアントにダウンロードできました。Mandiant は、一時ステージからのローカル取得の技術的パターンを観測しました。公開されたキャンペーン記録は、すべての被害者について、送信元国、宛先国、または法的転送状況を確立していないため、違法なクロスボーダー転送の普遍的な主張は裏付けられません。それでも、アーキテクチャは、ストレージの局所性だけではユーザーの局所性を強制できなかったことを示しています。

クロスリージョン共有とレプリケーションは、別の合法的な移動経路を作成します。Snowflake のクロスリージョン共有ガイダンスは、組織がデータを異なるリージョンまたは国にレプリケーションする前に、法的および規制上の制限を確認するよう指示しています。これは、顧客管理下での計画的な移動です。認証情報主導のエクスポートは異なります。送信元アカウントの場所を変更することなく、選択された環境外に制御不能なコピーを作成する可能性があります。送信元リージョンのみを記録するデータインベントリは、攻撃者がコピーを削除した後でも「EU」または「カナダ」と表示し続けます。

したがって、データ主権には少なくとも 4 つの層があります:

  • 配置:信頼できるストレージおよびコンピューティングリソースがプロビジョニングされる場所。
  • アクセス:どの人間およびマシンの ID が、どのデバイス、ネットワーク、管轄区域から接続できるか。
  • 移動:どのクエリ、アンロード、共有、レプリケーション、コネクタ、ダウンロードが別のコピーを作成できるか。
  • 証拠と救済:組織がアクセスがどこから発生したか、何が流出したか、どの人物または規制対象レコードが関与したか、どの程度迅速に封じ込めと通知ができるかを証明できるか。

プロバイダーは、顧客がポリシーを選択する場合でも、これら 4 つの層すべての重要な部分を管理しています。リージョンを提供し、アカウントデータをその中に保持します。リクエストを認証し、ネットワーク制御を公開します。エクスポートコマンドを実行し、クエリメタデータを記録します。クロスカスタマーの脅威の可視性を保持し、漏洩したパスワードを無効にできます。顧客は、自身の法的根拠、データカテゴリ、ロール、許可された送信元、マスキング、保持、承認された移動を決定します。これらの補完的な制御なしのリージョンホスティングのコミットメントは、データをグローバルにコピーする実用的な権限を露出させたまま、狭いデータセンターの場所の要件を満たす可能性があります。

これが、暗号化と主権を混同すべきでない理由でもあります。暗号化は、保存されたオブジェクトをインフラストラクチャオペレーターや権限のないストレージ層のリーダーから保護できます。オブジェクトを分析する必要があるアプリケーションは、必然的に認可されたクエリコンテキストでデータを利用可能にします。ID の保証とロールの範囲が弱い場合、暗号の局所性は運用上の流出と共存する可能性があります。

顧客の開示は一様な侵害ではなく異なる結果を示している

このキャンペーンは、しばしば著名な顧客名で説明されますが、各顧客の公開記録には独自の範囲、日付、データ、用語、信頼性があります。ある企業の事実を別の企業に移したり、犯罪フォーラムの主張を検証済みの母集団に変換したりすることは安全ではありません。

Live Nation の 2024 年 5 月 31 日のForm 8-Kでは、5 月 20 日に主に Ticketmaster からの会社データを含むサードパーティのクラウドデータベース環境で不正な活動を特定したと述べています。5 月 27 日に犯罪者が会社のユーザーデータと主張するものを販売のために提供し、Live Nation は法執行機関、規制当局、および必要に応じてユーザーに通知していると述べました。提出書類は Snowflake の名前を挙げておらず、確認された影響を受けた人数を提供しておらず、認証経路を説明していません。

Ticketmaster Canada のインシデントページは、異なる詳細レベルを提供しています。サードパーティのデータサービスプロバイダーによってホストされる分離されたクラウドデータベースへの不正アクセスについて説明し、データベースには一部の北米のチケット購入者の限定的な個人情報が含まれており、メール、電話番号、暗号化されたカード情報、顧客が提供したその他の情報などのフィールドが含まれている可能性があるとしています。Ticketmaster の顧客アカウントは影響を受けなかったと述べています。この最後の境界は重要です。バックエンドのデータウェアハウスの侵害は、攻撃者が各人の Ticketmaster ログインを取得した、または消費者アカウントを通じて取引できたという証拠ではありません。

カナダプライバシーコミッショナー事務局の 2025 年 10 月の議会向け問題シートでは、Snowflake を Ticketmaster が使用するサードパーティプロバイダーとして特定し、Ticketmaster Canada のインシデント期間を 2024 年 4 月 2 日から 5 月 18 日までとし、カナダ人を含む数百万人の個人情報が関与したとしています。また、調査は継続中であり、PIPEDA に基づくデータ管理者として Ticketmaster Canada が調査対象であると述べています。これは有用な規制の文脈ですが、保護措置の妥当性、通知のタイミング、または責任を解決する最終的な調査結果ではありません。

AT&T の 2024 年 7 月 12 日のForm 8-Kは、インシデントが一緒に議論される場合でも、送信元の境界が重要である理由を示しています。AT&T は、不正な人物がサードパーティのクラウドプラットフォーム上の AT&T ワークスペースにアクセスし、4 月 14 日から 4 月 25 日までにファイルを流出させたと述べました。これらのファイルには、ほぼすべての AT&T ワイヤレス顧客と関連するモバイル仮想ネットワークオペレーター顧客の通話およびテキストのやり取り記録が含まれていました(2022 年の指定期間と 2023 年の 1 日)。AT&T は、ファイルには通話やテキストの内容、社会保障番号、生年月日、または AT&T がその用語を使用する他の個人情報は含まれていなかったと述べました。この提出書類自体は Snowflake や UNC5537 の名前を挙げていません。これは AT&T のインシデントの事実を裏付けるものであり、単独でのキャンペーン帰属を裏付けるものではありません。

これらの記録から 4 つの規律ルールが生まれます。第一に、ある顧客の提出書類はその顧客にのみ使用すること。第二に、データベース、組織アカウント、消費者ログインを区別すること。第三に、データフィールドとそれによって表される人の数を区別すること。第四に、「メッセージ内容なし」や「消費者アカウントは影響を受けず」などの否定的な事実を影響とともに保存すること。分析が劇的な主張を拡大し、制限的なものを省く場合、説明責任の信頼性は低下します。

顧客は委任したデータと ID に対して責任を負い続けた

共有責任の顧客側は相当なものです。組織は、Snowflake ユーザーを作成または承認し、認証経路を選択し、ロールを割り当て、データをロードし、履歴を保持し、リージョンを選択し、統合を有効にし、どの従業員と請負業者がウェアハウスをクエリできるかを決定しました。また、そのデータで表される人々との主要な関係を保持し、通常、適用されるプライバシー法の下で管理者としての義務を保持していました。

顧客は、観測されたキャンペーンをいくつかの時点で阻止できました。エンドポイントの露出後にパスワードをローテーションする、パスワードのみのサービスアカウントを禁止する、人間に MFA を要求する、管理された ID プロバイダーを介してアクセスをフェデレーションする、ネットワークを制限する、請負業者ユーザーを期限切れにする、ロールの付与を減らす、機密フィールドを分類してマスクする、エクスポート権限を分離する、ログインとクエリ履歴を監視する、クラウドプロバイダー通知をリハーサルする。規制対象または高影響のデータセットについては、これらは調達に委任されるオプションの強化ではなく、基本的な運用義務です。

エンドポイントと請負業者のガバナンスには特に注意が必要です。高影響のクラウドロールを持つユーザーは、管理されていない個人のコンピューターから認証すべきではありません。請負業者は、可能な限り、エンドポイント監視を備えた顧客管理の仮想デスクトップまたはデバイスを使用する必要があります。彼らの ID は顧客ごとに一意であり、スポンサーにリンクされ、自動的に期限切れになる必要があります。組織は、Snowflake アカウントパターンの認証情報露出フィードを検索し、証拠が現れたら、悪用の確認を待たずにローテーションを強制する必要があります。

最小権限は、役職ではなくデータに対してテストする必要があります。「アナリスト」は管理的でなく聞こえるかもしれませんが、顧客、従業員、またはトランザクションテーブルのすべての行への選択アクセスを保持している可能性があります。ロールレビューでは、どの行と列が返される可能性があるか、生の識別子が必要かどうか、バルク結果セットをステージに書き込めるかどうか、ID が新しい認証情報や統合を作成できるかどうかを尋ねる必要があります。ロールの下でのサンプルクエリは、きれいに見えるロール名よりも強力な証拠です。

顧客は対応の準備も所有しています。Snowflake ユーザーを従業員や請負業者に、クエリを影響を受けるデータ主体に、エクスポートを管轄区域および通知分析にマッピングできる必要があります。ネイティブの 1 年間の履歴は、より長い法的保持や遅延発見には不十分な場合があるため、高リスクの顧客は関連イベントを独立したセキュリティストアにストリーミングする必要があります。プロバイダーのアラートは、顧客のセキュリティチーム、プライバシーオフィス、ビジネス所有者、およびエグゼクティブ意思決定者へのテスト済みの経路を必要とします。

NIST のCybersecurity Framework サプライチェーンガイドは、重要性に応じてサプライヤー要件を定義し伝達することを推奨しています。ここに適用すると、Snowflake の顧客は、インシデント通知のタイミング、証拠フィールド、保持、サポートのエスカレーション、リージョン処理、サブプロセッサーの可視性、管理変更の通知、保証アクセスを契約する必要があります。また、損失や侵害が許容できないデータ機能の退出または隔離計画を維持する必要があります。共有責任は、テスト可能なインターフェースとして書かれるべきであり、インシデント後にのみ現れる段落としてではありません。

Snowflake はサービスレベルのリスク低減に対して責任を負い続けた

Snowflake は、請負業者の個人デバイス上のマルウェアや、顧客が MFA を無効のままにした決定を管理していませんでした。しかし、古いパスワードが唯一の要素であり続けることができるかどうか、無制限の送信元が静かなデフォルトであるかどうか、リスクの高い構成が永続的な警告を生成するかどうか、そしてプロバイダーが顧客間のパターンを観測した後に何をしたかを管理していました。

このケースにおけるプロバイダーの説明責任には 6 つの部分があります。

安全なベースライン。人間の特権アクセスは、再利用可能なパスワードだけに依存すべきではありません。サービス ID には別のタイプとサポートされる非パスワード方式が必要です。新しいデフォルトは、新しいテナントだけを保護するのではなく、段階的な強制、明示的な例外、移行支援を通じて既存の高リスクアカウントに到達する必要があります。

構成の可視性。プロバイダーは、セキュリティ管理者に完全な分母を表示する必要があります:MFA のない人間、パスワードを持つレガシーサービスユーザー、休眠アカウント、ネットワーク制限のないユーザー、特権ロール、パブリックイングレスを許可するアカウント。調査結果は組織レベルで表示可能であり、監査のためにエクスポート可能である必要があります。

クロスカスタマー検出。再利用されたインフラストラクチャ、漏洩した認証情報、異常なクライアント、偵察シーケンス、一時ステージの作成、大規模なエクスポートは、キャンペーンシグナルを形成する可能性があります。プロバイダーはサービス層で検出し、可能性の高い被害者に連絡し、高信頼度のアクティビティが一時的なブロックをトリガーするタイミングを定義する必要があります。

実用的なテレメトリ。顧客は、アクティブな窃取を封じ込めるのに十分な保持期間と低いレイテンシーを備えた認証、クエリ、オブジェクト、ステージ、転送の証拠を必要とします。より忠実度の高い証拠は、サービスが最も高い影響のデータを保存する場所で正確に利用できなくなるべきではありません。

警告と調整。顧客アラートは、既知の緊急ルートを通じて移動し、単にログを確認するようアドバイスするのではなく、証拠を運ぶ必要があります。プロバイダーは、確認応答、封じ込め、再発する露出を追跡し、不確かな観測を確認された被害者数に崩さずに、法執行機関や規制当局の要求をサポートする必要があります。

インシデント後の検証。発表された機能とデフォルトには、導入と有効性の尺度が必要です。デフォルト MFA、漏洩パスワードの無効化、Trust Center の調査結果、より強力な ID タイプへの Snowflake のその後の変更は、観測された経路に対処しています。残る説明責任の質問はカバレッジです:どのユーザーとクライアントが実際に保護されているか、どの例外が残っているか、そして制御が実際のまたはシミュレートされた試みをどのくらいの頻度で阻止するか?

この割り当ては、Snowflake をすべての顧客データセットのデータ管理者にするものではなく、プロバイダーをすべての顧客構成に対して責任があるとするものでもありません。これは、クラウド企業がデータを集中させ、セキュリティ境界を運用することで利益を得ることを認識しています。規模は、特にクロステナント相関とベースラインエンジニアリングという、プロバイダーのみが実行できる義務を生み出します。

後の訴訟は同じ境界をテストするが、まだ解決していない

Snowflake と影響を受けた企業は、インシデント後に統合民事訴訟に直面しました。2025 年 10 月 29 日の連邦裁判所命令で、モンタナ州地区裁判所は、金融機関の原告が Snowflake と Ticketmaster に対して特定の過失理論を十分に主張し、却下申立てを乗り切ったと判断しました。裁判所は、その手続き段階では、申し立てられたデフォルト MFA と予見可能性が義務、違反、因果関係に関連すると扱いました。

この命令は、Snowflake または Ticketmaster に過失があったという裁判所の認定ではありません。却下申立てにおいて、裁判所は十分に主張された申し立てがもっともらしい請求を述べているかをテストするものであり、争われている証拠を解決したり、すべての原告に対する最終的なインシデントメカニズムを決定したり、損害賠償を割り当てたりするものではありません。Snowflake は申し立てに異議を唱え、顧客が MFA、ネットワークポリシー、その他の保護措置を実施しなかったことが損害を引き起こしたと主張しました。この命令は、MFA を顧客設定と説明することがすべてのプロバイダー義務の請求を自動的に終わらせなかったことを示している点で重要です。これは最終的な本案記録の代わりにはなりません。

カナダのプライバシー調査は異なる割り当てを伴いました。OPC は、Ticketmaster Canada が管理者であり、調査対象である一方、事務局は情報提供のために Snowflake に連絡したと述べました。これは、ストレージのアウトソーシングが保護と通知の管理者の義務をアウトソーシングしないという一般的なプライバシー原則を反映しています。これは、サービスプロバイダーに独自の契約上、技術上、または法定上の義務がないことを意味するものではありません。

Snowflake 自身の 10-K は、多数の訴訟、規制調査、議員の問い合わせを認めましたが、最終的な普遍的な責任の割り当てを報告しませんでした。公開日現在、ここでレビューされた公開情報源は、Snowflake が法的に免責された、すべての顧客が法的に過失があった、または最終的な裁判所や規制当局がこの記事の運用上の割り当てを採用したと宣言することを裏付けていません。

運用上の説明責任は、最終的な責任の前に評価できます。パスワードのみのアクセスは予見可能でしたか?はい。顧客は MFA とネットワークポリシーを要求できましたか?はい。Snowflake はデフォルトを設計し、クロスカスタマーアクティビティを検出できましたか?はい。犯罪者は結果として生じた経路を意図的に悪用しましたか?はい。これらの命題は共存できます。不法行為、契約、プライバシー、証券法は、管轄区域や原告によって結果を異なって割り当てる可能性がありますが、エンジニアリングは 1 つのスローガンが勝つのを待つべきではありません。

測定可能な共有責任テスト

最も強力な対応は、「顧客」が一方に、「プロバイダー」がもう一方にある別の図ではありません。それは、カバレッジと障害動作を実証できる一連の制御です。

制御の質問顧客の証拠プロバイダーの証拠
人間がパスワードだけで使用できますか?すべての人間ユーザーのインベントリ、要素と IdP ポリシー、例外の所有者と有効期限強制されたデフォルト、アカウント年齢とクライアントによるカバレッジ、ブロックされたパスワードのみの試行
サービス ID が人間のパスワードを使用できますか?ワークロードインベントリ、キーまたは OAuth ローテーション、所有者、ロールとネットワークスコープ明確なサービスタイプ、パスワード禁止、移行と互換性の指標
盗まれた認証情報はどこからでも接続できますか?テスト済みのアカウントおよびユーザーネットワークポリシー、プライベートエンドポイントカバレッジ、承認された例外無制限アカウントの警告、ポリシーシミュレーション、ロックアウト安全な強制、悪意のある送信元のブロック
1 人のユーザーが過剰なデータを読み取ったりエクスポートしたりできますか?ロール対データテスト、マスキング、行フィルター、エクスポートの分離と承認細かい権限、ステージ制御、転送テレメトリ、高リスクエクスポートの検出
アクティブな窃取を迅速に確認できますか?SIEM ルール、スタッフルーティング、演習結果、独立した保持クロスアカウント分析、検出レイテンシー、イベントの完全性、緊急連絡の成功
露出を再構築できますか?ID 所有権、データサブジェクトマップ、法的プレイブック、保存されたログセッションとクエリのリンク、オブジェクトと列の履歴、ステージと転送の証拠、テナント証拠パッケージ
リージョンアカウントは主権を強制しますか?承認されたアクセス管轄区域、移動登録、レプリケーションとコネクタのレビューリージョンコミットメント、送信元と宛先の証拠、エグレス制御、クロスリージョン警告
修復は実際に機能しますか?クローズされた調査結果、期限切れの例外、サンプルテスト導入指標、制御トリガーメトリクス、誤検知と上書きのレビュー

取締役会は機能の一覧ではなく成果を受け取るべきです。有用な尺度には、フィッシング耐性 MFA で保護された人間ユーザーの割合、パスワード可能なサービスユーザーの数、すべての緊急例外の経過時間、テスト済みネットワークポリシーを備えたアカウントの割合、期限切れの特権請負業者の数、見慣れない送信元に対する警告までの時間の中央値、高信頼度セッションの停止までの時間、フィールドレベルの露出パッケージの作成までの時間が含まれます。

Snowflake は、顧客を露出させずに可能な限り集約された進捗を公開する必要があります。CISA の誓約は、ユーザーと MFA タイプ別の導入統計を明示的に想定しています。「MFA が利用可能」という声明は、時間の経過に伴うパスワードのみのサインインの分布よりも情報が少ないです。「Trust Center が有効」という声明は、定義された期間を超えて未解決のままの重要な調査結果の数よりも情報が少ないです。「疑わしい顧客に通知された」という声明は、通知レイテンシーと証拠パッケージの完全性よりも情報が少ないです。

顧客は自身にも同じ厳格さを要求する必要があります。プロバイダーは、広範なロールを作成し、調査結果を無視し、古い請負業者ユーザーを保持し、緊急連絡に応答する人が誰もいない組織を救うことはできません。より強力なデフォルトの目的は、顧客セキュリティの所有権を Snowflake に移すことではありません。それは、予測可能な欠落が大量データ窃取になる可能性を低くすることです。

公開記録がまだ確立していないこと

証拠はキャンペーンのパターンを再構築するのに十分強力ですが、すべての被害者インシデントを再構築するには不十分です。

公開記録は、通知されたすべての組織を特定しておらず、165 すべてが不正アクセスを受けたことを確認しておらず、影響を受けた個人、テーブル、レコード、ダウンロードされたバイト数の最終的なキャンペーン全体の合計を提供していません。どの被害者が恐喝要求に支払ったか、または約束された削除が行われたかを示していません。

各組織のユーザータイプ、ロール階層、MFA 履歴、ネットワーク構成、エンドポイント所有者、セッションシーケンス、アクセスされた列、エクスポート量を公開していません。いくつかの調査からの請負業者デバイスの調査結果は、すべての被害者に割り当てられるべきではありません。79.7%の認証情報露出統計は、被害者の割合に変換されるべきではありません。

ソフトウェアの脆弱性、クロステナントエスケープ、Snowflake の本番プラットフォームの侵害、プロバイダーのマスター認証情報の窃取、またはすべての Snowflake 顧客へのアクセスを確立していません。サポートされているクライアントとコマンドの観測された使用は、製品コードが悪用されたという証拠ではなく、認証情報の悪用の証拠です。

すべてのインシデントでリージョンデータが国境を越えたことを証明していません。アーキテクチャはリモートアクセスとローカルダウンロードを許可しましたが、法的転送分析には、各顧客の送信元、宛先、データサブジェクト、契約、管轄区域の事実が必要です。

Ticketmaster の可能性のあるフィールド、AT&T の通話詳細範囲、または犯罪フォーラムの数を他の顧客に一般化することを許可していません。Live Nation の提出書類は Snowflake の名前を挙げていません。AT&T の提出書類は Snowflake または UNC5537 の名前を挙げていません。外部の関連付けはさらなる調査に関連する可能性がありますが、提出書類は実際に確立していることについて引用されるべきです。

最後に、現在の Snowflake のドキュメントは、2024 年 4 月および 5 月の管理の運用を証明していません。後のデフォルト MFA、漏洩パスワード保護、Trust Center 検出、認証ポリシー、ID の変更は再発を減らす可能性がありますが、導入、例外カバレッジ、検出パフォーマンス、独立した有効性に関する公開証拠は、機能の説明よりも依然として限られています。

推奨が無視された瞬間を共有責任は生き残らなければならない

Snowflake キャンペーンは、2 つの絶対的な物語間の競争として理解するのが最善ではありません。一方の物語は、プラットフォームがハッキングされ、プロバイダーだけが失敗したと言います。証拠はそれを支持しません。もう一方は、顧客がパスワードを失い、したがってプロバイダーの問題はクローズされたと言います。それは技術的に不完全です。

UNC5537 は、エンドポイント侵害とクラウド集中の間のスケーラブルな接合点を見つけました。過去のパスワードは有効なままでした。人間の ID とサービスの ID は常に分離されていませんでした。MFA とネットワークゲートは存在しませんでした。サポートされたクエリとステージング機能はデータを迅速に移動しました。プロバイダーはテナント間のパターンを見ることができましたが、各顧客は自分のアカウントだけを見ていました。選択されたストレージリージョンは、認証されたセッションが別の場所に制御不能なコピーを作成している間でも、ソースデータを所定の場所に保持できました。

顧客は、ユーザー、ロール、エンドポイント、請負業者、データを管理する最も明確な義務を負っていました。Snowflake は、サービス境界を保護し観測し、価値の高い保護を容易にし、ますます回避不可能にし、キャンペーン行動を検出し、証拠を提供する最も明確な義務を負っていました。攻撃者は犯罪行為に対して直接的な責任を負っていました。規制当局と裁判所は、各組織に適用される事実と法律に基づいて法的義務を評価しなければなりません。これらの割り当ては、管理が重複するために重複しています。

キャンペーン後の製品の方向性は、能力と成果の間のギャップを暗黙のうちに認識しています。新しい人間ユーザーのデフォルト MFA、漏洩パスワードの無効化、より強力な認証ポリシー、サービスユーザー移行、Trust Center の調査結果は、セキュリティをプロバイダーのベースラインに近づけます。これらは顧客の責任を消し去るものではありません。共有システムが、盗まれたパスワードがテストされる前に、すべての管理者がすべての正しいオプションを見つけて有効にすることに依存しにくくするものです。

これがクラウドデータプラットフォームの永続的な説明責任テストです。顧客が警告を見逃し、請負業者のデバイスが感染し、認証情報が有効なままであり、攻撃者が通常の製品機能を使用すると想定します。次に、デフォルトがログインをブロックするか、別のゲートが送信元を拒否するか、ロールがほとんど明らかにしないか、エクスポートが介入をトリガーするか、証拠が時間内に顧客に届くかどうかを尋ねます。共有責任は、一方の当事者の予測可能なミスの後もサービスが防御可能であり続け、両当事者がその前後に何をしたかを証明できる場合にのみ信頼できます。