Google 警告:GCP の不適切な管理がもたらす暗号通貨マイニングなどの手口

Hackers Using Compromised Google Cloud Accounts to Mine Cryptocurrency

2021/11/29 TheHackerNews — Google Cloud Platform (GCP) の不適切なセキュリティ管理を悪用することで、侵害されたシステムへの暗号通貨マイニング・ソフトウェアのダウンロードや、インフラを悪用したランサムウェアのインストール、フィッシング・キャンペーンの実施、YouTube トラフィック/視聴回数の操作などが横行している。

Google の Cybersecurity Action Team (CAT) は、先週に発行された Threat Horizons Report の中で、「クラウドを利用する顧客は、アプリケーションやインフラに関わる様々な脅威に直面しているが、成功した攻撃の多くは、衛生状態が悪い環境や、基本的な制御欠如などに起因する」と説明している。

最近に侵害された 50件 の GCP インスタンスのうち、暗号通貨のマイニングに 86% が使用され、侵害が成功した 22秒後にマイニングが開始されたというケースもある。また、インターネット上でアクセスが可能なホストをスキャンし、脆弱なシステムを特定するために 10% が悪用され、他のエンティティを攻撃するために 8%が 使用されていた。また、GCP インスタンスの約 6% がマルウェアのホスティングに使用されていた。

不正アクセスの原因としては、ユーザーア・カウントおよび API 接続における、脆弱なパスワードの使用が 48% であり、クラウド・インスタンスにインストールされているサードパーティ製ソフトウェアの脆弱性が 26%、GitHub プロジェクトの認証情報の漏洩が 4% である。

また、2021年9月末に APT28 (別名:Fancy Bear) が行った Gmail フィッシング・キャンペーンでは、主に米国/英国/インド/カナダ/ロシア/ブラジル/EU 諸国の 1万2,000人以上のアカウント保有者に対して、認証情報を盗む目的でメールが送信されたが、これも注目すべき攻撃である。

さらに、Google CAT によると、トライアル・プロジェクトを悪用した無料クラウド・クレジットの利用や、偽のスタートアップを装った YouTube へのトラフィック・ポンピングなどが確認されたとのことだ。

また、北朝鮮政府の支援を受けた攻撃グループが Samsung のリクルーターを装い、韓国のマルウェア対策ソリューション企業数社の、従業員に対して偽の求人情報を送信したというインシデントもあった。そのメールには、Samsung での職務内容を示す PDF が含まれていたが、その PDF 自体が不正なものであり、標準的な PDF リーダーでは開かなかった。ターゲットが求人情報を開けないと返信すると、Google Drive に保存されている PDF リーダーを装った、マルウェアへの悪意のリンクが返信されたが、現在はブロックされている。

Google は今回の攻撃について、今年の初めにセキュリティ専門家に狙いを定めてエクスプロイトを盗み出し、脆弱なターゲットに対して攻撃を仕掛けてきた脅威アクターの仕業であるとしている。

Google CAT は、クラウドホスト型のリソースには、高い可用性と容易なアクセスというメリットがある。その一方で、悪意の脅威アクターたちは、クラウドのユビキタス性を利用してクラウド・リソースを侵害しようとする。サイバー・セキュリティに対する社会の関心は高まっているが、スピアフィッシングやソーシャル・エンジニアリングの手口は成功しやすい」と述べている。

つい先日に、「マルチ・クラウドへの移行が止まらない:追いつかないセキュリティ関連の予算」という記事をポストしましたが、さまざまなクラウド・サービスを利用するユーザー企業側の、管理体制が追いつかず、また、そのための予算も不足しているという状況が記されていました。たしかに、潤沢なリソースを安価に利用できるクラウドですが、セキュリティ対策の欠如を放置した状況での評価だったとも言えますね。ちょっとした、揺り戻しが起こっているように感じます。

%d bloggers like this: