クラウドや仮想環境をターゲットにする脅威のトレンドとは?

Rising Threats Target Cloud Providers, Virtual Infrastructure

2021/07/20 SecurityBoulevard — Positive Technologies のレポートによると、仮想化環境を攻撃するためのマルウェア開発が増加しており、その中には仮想インフラをディプロイするためのソフトウェア内で既に見つかっている脆弱性を、積極的に利用しようとするサイバー犯罪者もいるという。2021年におけるサイバー攻撃の全体的な件数は、2020年の第1四半期との比較では 17% 増加となっており、また、77% が標的型攻撃であったとのことだ。

今期になって、攻撃者が多用した脆弱性は、Microsoft Exchange Server (ProxyLogon) と、旧式のファイル共有プログラムである Accellion FTA である。また、政府機関への攻撃では、ランサムウェアの割合が増加しており、マルウェア攻撃の 70% に至っている。ランサムウェア以外でのランサムウェアが関連するものとしては、バンキング・トロイの木馬 (18%) や、RAT (13%)、スパイウェア (8%) などが挙げられている。また、企業の IT インフラを簡素化し、容易な運用を実現することで、人気を博しているクラウドサービスも、攻撃者のお気に入りターゲットとなった。

この調査によると、クラウドサービス・プロバイダーへの攻撃という現象が起こる理由として、ハッカーによる顧客データへのアクセスが挙げられている。たとえば、2021年1月に発生した、衣料品店 Bonobos インシデントでは、そのようなことが起こっている。この店舗では、顧客の認証情報や個人情報の保存に使用していたクラウドサービス・プロバイダーが攻撃されたことで、データの流出が発生した。同様の事件は、ネットワーク機器メーカーである Ubiquiti でも発生している。

一網打尽型に焦点を当てた攻撃

NNT の Global VP of Security Research である Dirk Schrader は、今回のレポートにおいて、サプライチェーン攻撃やクラウド攻撃などは、多数の被害者に攻撃者が容易にアクセスできる、一網打尽型ターゲットへの注目が高まっていると指摘する。Dirk Schrader は、「これまでの攻撃ベクターも依然として高いレベルにあるが、通信事業者やクラウド・プロバイダーも、さらに狙われることになるという悪いニュースだ。今後も、攻撃者たちは武器を増やし続けると予測されるため、この変化が生じたとしても、その他の組織が警戒心を弱めてよいという話ではない。アカウントや関連するユーザー権限に注意を払うだけではなく、インフラに予期せぬ変化がないかを監視することが、必要かつ重要である」と述べている。

JupiterOne の CMO である Tyler Shields は、Bonobos への攻撃について、安全が確保されない方法で、クラウド上に保存されたバックアップに原因であったようだと指摘している。「残念なことに、この種の攻撃は、今日のクラウド環境で見られる最も一般的な手口の1つだ。一般的にみて、クラウド・プロバイダーの設定ミスにより、安全が確保されない状態でデータが放置されることで、この脅威は引き起こされる。この種の問題に対する最善の解決策は、クラウドのソリューションやサービスの状態の変化を追跡し、警告を発するデジタル資産管理ソリューションを導入することだ。既知の安全な状態から外れた場合、このようなサービスの1つから警告が発せられるはずだ」と述べている。

脅威に対抗するための安全なクラウド移行

Valtix の CTO である Vishal Jain は、クラウドのセキュリティは、オンプレミスとは根本的に異なり、多くのセキュリティ・リーダーにとっては目新しいものだと指摘している。クラウドファーストであろうとハイブリッドであろうと、この移行をサポートするために、企業は正しいポリシーを導入しようと急いでいる。特に、IaaS / PaaS / SaaS が混在し、それぞれに異なるセキュリティ要件がある場合には、責任共有モデルが困難になる可能性がある。

Vishal Jain は、「それぞれのクラウド・プロバイダーが独自のニュアンスを持っているため、マルチクラウドは問題を悪化させる。最終的には、クラウドには多層のセキュリティと可視性が必要となる。クラウドファーストのツールは、クラウド環境の動的な性質にも適応する堅牢なセキュリティにより、これらのニーズを満たすことが可能だ」と述べている。このレポートでは、マルウェア攻撃が仮想インフラに向けられるというトレンドが、上昇しているとも指摘している。このトレンドは、2020年 Q4 に急増した後に、2021年第 Q1 で主流となった。

このトレンドの主な要因は、企業の IT インフラを仮想環境に移行するプロセスが、世界的に進んでいる点にあるとされる。攻撃者たちは、新しい脆弱性に関する情報を注意深く監視し、即応的な攻撃に利用しようとする。仮想インフラやクラウド・サービスへのアクセスを得るというトピックは、ダークウェブでかなり人気の高いものだと、このレポートは述べている。具体的には、特定の企業に対して直ちに利用できるアクセス権を提供するだけではなく、リクエストに応じて企業をハッキングするオファーなどが、ダークウェブの掲示板に投稿されているという。

このレポートは、「ブローカーと呼ばれるサービスがランサムウェア運営者に利用されることで、標的システムにログインするための認証情報の取得が可能なる」と説明している。2021年 Q2 に発生した攻撃の詳細を踏まえ、Positive Technologies 社は、企業がセキュリティ・アップデートを素早くインストールし、仮想インフラの保護に十分な注意を払うことを、強く推奨すると述べている。また、WAF (web application firewalls) などのセキュリティ・ツールを活用して、企業の境界線におけるセキュリティを強化することも呼びかけている。

たしかに、クラウド自体を攻略してしまえば、一網打尽型の攻撃が可能になるので、そこを狙うトレンドがあるという話に納得してしまいます。以前に、「Ubiquiti へのサイバー攻撃は当初の発表より深刻かも?」という記事をアップしましたが、これもクラウド攻撃の被害者です。文中にもあるように、IaaS / PaaS / SaaS の切り分けは、セキュリティの分担切り分けでもあります。個々のシステムに応じて、セキュリティ対策の範囲を正確に把握しておく必要がありますね。もう、10年ほど前のことになりますが、NIST の Guidelines on Security and Privacy in Public Cloud Computing というドキュメントを訳したことがあります。4章は Key Security and Privacy Issues という項目なので、なにかのお役に立つかもしれません。

%d bloggers like this: