警戒すべきクラウドコンピューティング攻撃手法7つ

セキュリティの専門家が、サイバー攻撃者が企業のクラウド コンピューティング環境に対して使用する一般的な攻撃手法について説明し、分析します。

[[318744]]

業務をクラウド コンピューティング環境に移行する企業が増えるにつれて、攻撃を企てるサイバー犯罪者も増えます。最新の攻撃手法を理解することで、組織は将来の脅威に対してより適切に備えることができます。

「技術が変化するたびに、技術の変化を攻撃するか、変化の波に乗るかのいずれかで、サイバー攻撃が急増する」と、セキュリティベンダーのホワイトハット・セキュリティのCTO、アンソニー・ベッティーニ氏は、今週開催されたRSAセキュリティカンファレンスのパネルディスカッションで述べた。企業がセキュリティ体制を考慮せずにクラウド プラットフォームを導入すると、セキュリティ チームが圧倒され、データとプロセスが危険にさらされる可能性があります。

サイバー攻撃者は、クラウド コンピューティング テクノロジーを悪用する新しい方法を常に探しています。たとえば、最近発見された「Cloud Snooper」攻撃では、ルートキットを使用して企業の AWS クラウド プラットフォーム環境とオンプレミスのファイアウォールを攻撃し、クラウドベースのサーバーにリモート アクセス トロイの木馬ソフトウェアを埋め込みました。こうした問題が引き続き発生するため、多くの犯罪者は、認証情報のブルートフォース攻撃や、誤って構成された S3 バケットに保存されているデータへのアクセスなど、実績のある方法に頼るようになっています。セキュリティ専門家は、企業のセキュリティチームが技術開発のペースに追いつくためにやるべきことがまだたくさんあると述べている。

「既存のセキュリティスキルを持って全く異なる環境に飛び込む場合、何に重点を置くべきか、そして実際の状況は何かを把握するのは非常に難しいだろう」と、セキュロシスの最高情報セキュリティ責任者リッチ・モグル氏は、クラウドにおけるサイバー攻撃の連鎖についてRSAカンファレンスで語った。

以下では、これらの一般的な攻撃チェーンのいくつかについて、セキュリティ専門家やサイバー犯罪者が最も懸念するその他のクラウド コンピューティング攻撃手法とともに説明します。

1. 漏洩した認証情報はアカウントの乗っ取りにつながる

アカウントの乗っ取りにつながる API 認証情報の漏洩は、クラウド プラットフォームにおける重大度の高い攻撃チェーンです。モグル氏は、この攻撃は確かに最も一般的な攻撃の一つだと語った。

静的資格情報とは、Azure のユーザー アクセス キーや Software as a Service (SaaS) トークンのようなものです。 「これらのパスワードを使用する必要がある理由は、オンプレミスのデータセンターがクラウドと通信して、何らかのユーザー名/パスワード認証情報を取得できるようにすることをユーザーが望んでいるためです」と、彼は説明した。

サイバー攻撃者がこれらのアクセス キーの 1 つを入手すると、攻撃者はそれを自分の管理下にあるホストまたはプラットフォームで使用し、悪意のあるアクションや権限昇格のための API 呼び出しを実行できます。これらのキーは通常、GitHub、BitBucket、共有イメージ、公開スナップショットなどを通じて漏洩します。攻撃者は、Google Play ストア アプリを逆コンパイルして静的認証情報を抽出し、それを使用しました。誰かが開発者のラップトップやインスタンスに侵入し、コマンド履歴や構成ファイルを調べて、クラウド コンピューティング環境へのアクセスに必要なアクセス キーを見つける可能性があります。

「これは今日のクラウドコンピューティングにおける大きな攻撃ベクトルの一つであり、それが実行される方法の一つでもあると思う。特に、情報を公開することはそうだ」とモグル氏は語った。彼は、ユーザーに対して、資格情報の使用を最小限に抑え、コード リポジトリと会社の GitHub で資格情報をスキャンすることを推奨しました。これらのキーが漏洩すると、サイバー攻撃者がインフラストラクチャへの攻撃を試みるのに数分しかかかりません。

2. 設定エラー

スターバックス社のグローバル最高情報セキュリティ責任者アンディ・カークランド氏は、今年のRSA情報サミットでのプレゼンテーションで、設定エラーは大部分、あるいは少なくとも部分的には「シャドーITのブランド変更」であると述べた。ほぼ誰でも S3 バケットを入手して、好きなように使用できます。また、企業がパブリック クラウド内の情報を保護できないことが多いため、誤った構成に関連するサイバー攻撃が依然として発生しています。

この場合、機密データはオブジェクト ストレージに配置され、適切に保護されません。アクセス制御は公開または匿名に設定できます。バケットポリシーまたはネットワークセキュリティポリシーが緩すぎる可能性があります。または、パブリック コンテンツ配信ネットワーク (CDN) がプライベート データに設定されている可能性があります。サイバー攻撃者は、オープンデータストアをスキャンして発見し、必要なデータを抽出します。

「これらのデフォルトは安全だが、公開するのは簡単だ」とモグル氏は語った。クラウドプロバイダーはこれを軽減するツールを提供していますが、それでも企業にとって苦痛となる可能性があります。彼は、オブジェクト レベルの権限に特に注意しながら、継続的な評価を行うことを推奨しています。バケット レベルの権限を変更しても、必ずしもオブジェクト レベルの権限が変更されるわけではありません。

「これは解決が非常に難しい問題です。なぜなら、組織によってはこうした環境に何万ものオブジェクトを保有しており、それらを調べて見つけなければならないからです」と同氏は語った。 「最善の方法は、誰にもこの情報を公開させないように制御することです。」

何かを公開する必要がある場合、すべてをそのままにしておくように環境を構成できますが、後から追加のコンテンツを公開することはできないと Mogull 氏は述べています。

「パブリッククラウドで実行される重要なワークロードはますます増えています」と、Oracle Cloud Securityの製品管理担当シニアディレクター、ジョニー・コンスタンタス氏は語る。 「パブリック クラウド プロバイダーには、この話し合いを持ち、それが何なのかを話し合う義務があると思います。」

3. 大手クラウドコンピューティングサービスが人気のターゲット

クラウドに移行する組織が増えるにつれて、サイバー攻撃者も同様に移行しています。これは、Office 365 などの一般的なクラウド コンピューティング サービスのログイン ページを模倣したフィッシング攻撃で明らかです。サイバー犯罪者は、クラウド コンピューティング サービスへの鍵となる認証情報を探しています。

「残念ながら、多くの組織が依然として脆弱な認証情報を使用している」とトレンドマイクロのグローバル脅威コミュニケーション責任者、スティーブ・ジョブズ氏は述べた。 「クレデンシャルスタッフィングは、攻撃者がネットワークインフラストラクチャやアカウントに接続するフィッシングページを含むフィッシングメールを標的にし始めたことに一部起因しています。」

Imperva の最近のサイバー脅威インデックス レポートによると、サイバー犯罪者はパブリック クラウドをますます活用しており、2019 年 11 月から 12 月の間にパブリック クラウドから発生したサイバー攻撃が 16% 増加したことがわかりました。Amazon Web Services はより人気の高いソースであり、すべてのサイバー攻撃の 52.9% がパブリック クラウドから発生しています。この統計を提供したImpervaは、クラウドプロバイダーは悪意のある行為がないかプラットフォームを監査する必要があることを示していると述べた。

大手クラウド サービスの悪用の別の事例では、研究者らは、主にリモート アクセス型トロイの木馬や情報窃盗プログラムをダウンロードするために使用される新しいダウンローダーを報告しました。 Proofpoint によると、「GuLoader は複数の脅威グループの間でますます人気が高まっており、暗号化されたペイロードを Google Drive や Microsoft OneDrive に保存することがよくあります。多くの場合、.iso や .rar などのコンテナ ファイルに埋め込まれますが、研究者はクラウド ホスティング プラットフォームから直接ダウンロードされるのも確認しています。」

4. 暗号通貨マイニング

クラウドに移行しても、多くのサイバー攻撃者は暗号通貨のマイニングを継続します。ほとんどの企業は、それほど深刻ではない攻撃に直面します。 「クラウドコンピューティングのアカウントを持っている人は誰でも、この問題に対処したことがある」とモグル氏は語った。

ネットワーク攻撃者は、RunInstance、VM、またはコンテナの資格情報を取得し、大規模なインスタンスまたはVMを実行し、Cryptominerを実行して挿入し、ネットワークに接続して、その結果をフィルタリングすることができます。あるいは、侵害されたインスタンス、VM、またはコンテナを侵害し、そこに Cryptominer を挿入することもできます。

「サイバー攻撃の78％は金銭目的だ」とスターバックスのチーフセキュリティアーキテクト、ショーン・ハリス氏は語った。 「これはアクセスを収益化する非常に迅速な方法です。」

トレンドマイクロのクレイ氏は、サーバーは依然として最良の暗号化プラットフォームだが、アクセス権を持つ攻撃者は企業の監視から自らの活動を隠す手段を講じていると指摘した。

5. サーバー側リクエストフォージェリ

サーバー側リクエストフォージェリ (SSRF) は危険な攻撃方法であり、クラウド コンピューティング環境では問題が拡大しています。 SSRF はメタデータ API を活用し、アプリケーションが基盤となるクラウド インフラストラクチャ内の構成、ログ、資格情報、およびその他の情報にアクセスできるようにします。メタデータ API はオンプレミスのデータセンターからのみアクセス可能でしたが、SSRF の脆弱性により、グローバル インターネットからアクセス可能になりました。侵害された場合、サイバー攻撃者は横方向に移動してネットワーク偵察を行うことができます。

これはより洗練された攻撃だったとモグル氏は語った。攻撃者はまず、潜在的なサーバー側リクエスト偽造 (SSRF) の脆弱性を持つインスタンスまたはコンテナを特定し、それを悪用してメタデータ サービスを通じて資格情報を抽出し、その資格情報を使用して攻撃者の環境でセッションを確立します。そこから、サイバー攻撃者は API 呼び出しを実行して権限を昇格したり、その他の悪意のあるアクションを実行したりすることができます。

SSRF が成功するには、いくつかの条件を満たす必要があります。つまり、何かがグローバル インターネットに公開されていること、SSRF の脆弱性が含まれていること、他の場所で動作できるようにする IAM 権限を持っていることが必要です。彼は、メタデータ サービスのバージョンを持つことが今や必須であると付け加えた。

6. クラウドコンピューティングのサプライチェーンにおけるギャップ

Splunk のセキュリティ市場担当上級副社長兼ゼネラルマネージャーである Song Haiyan 氏は、企業はクラウド コンピューティングのデジタル サプライ チェーンを潜在的なセキュリティ リスクとして十分に考慮しておらず、この環境におけるインシデント対応の影響も考慮していないと考えています。

「私たちが利用するサービスやアプリの多くは、1つの会社から提供されているわけではありません」と彼女は説明します。たとえば、ライドシェア アプリを使用して車を注文する場合、取引を処理する決済会社や GPS データを提供する会社など、複数のプレーヤーが関与します。誰かがこのプロセスの一部を破壊した場合、これらすべての API が異なるベンダーによって制御されている場合、インシデント対応はどのように処理されるのでしょうか?

「私たちはAPI経済の中にいる」とソン・ハイヤン氏は付け加えた。アプリケーションは API サービスを使用して構築されますが、クラウドで何か問題が発生した場合、その背後にある組織はそれを処理するための可視性とプロセスを導入する必要があります。サービス レベル契約 (SLA) とインシデント対応の取り決めはありますか?可視性と追跡可能性はどのように提供されますか?プロバイダーが誰であるか知っていますか?彼らの評判を理解できますか？ 「良いベンダーと協力することは役に立ちます」と彼女は付け加えた。

7. ブルートフォース攻撃とサービスとしてのアクセス

クレイにとって、パワーアタックは最優先事項です。同氏は、サイバー攻撃者がクラウドコンピューティングのインフラやアカウントに関連する悪意のあるページへのリンクを含むフィッシングメールを作成し始めていると述べた。ポップアップにより、被害者は Office 365 やその他のクラウド コンピューティング アプリケーションの偽のログイン ページにユーザー名とパスワードを入力するよう求められる場合があります。

「彼らは皆、資格を求めている」と彼は言った。一部のサイバー攻撃者は、そのアクセスを利用して暗号通貨のマイニングやデータの探索を行っています。クレイ氏が見ているトレンドの 1 つは、ダーク ウェブ上でのアクセスをサービスとして販売することです。サイバー攻撃者は、組織のクラウド コンピューティング環境にアクセスし、別の脅威グループのためにそのアクセスを管理する可能性があります。たとえば、Emotet オペレーターは、Sodinokibi または Ryuk ランサムウェア オペレーターにアクセス権を販売する可能性があります。クレイ氏は、多くのランサムウェアグループがこの手法を使用していると指摘した。