Google Cloud と Log4Shell:ピーク時のスキャン数は 40万件/日

Google Cloud offers good news and bad news on Log4Shell, other issues

2022/02/15 CyberScoop — Google Cloud では、Log4Shell バグを持つ脆弱なシステムに対して、1日あたり 40万回のスキャンが行われていると、同社は火曜日に発表した。Google Cloud の CISO である Phil Venables は CyberScoop に対して、「当社の不定期レポート Threat Horizons の調査結果では、スキャンは継続的に行われており、脆弱なインスタンスを1つでもオープンにしておくと発見される。IT セキュリティ担当者は常に注意を払う必要がある」と述べている。

Phil Venables は、「Google Cloud を利用している企業は、この問題を非常に重視している。しかし、今回の警告は、広く使われている Log4j ロギング・ソフトウェアの Log4Shell バグに対して脆弱な、デバイスやソフトウェアを見つける作業を継続するよう、セキュリティ専門家に注意を促すものだ。このバグには、12月初旬にパッチが適用されたが、放置されているものが多い」と述べている。

Google Threat Analysis Group の責任者である Shane Huntley は、「毎日のスキャン数により、ダイレクトに脅威の数が測定されるものではない。むしろ、インターネット上で、このような脆弱性があると、危険にさらされる可能性があるということが、いまの背景にある。このようなことが、常時行われていることを認識する必要がある」と述べている。

Google Cloud のデータによると、Log4j の脆弱性が発見された後の数週間で、1日あたりのスキャン数が40万件を超えてピークに達したようだが、その一部は、セキュリティ研究者などの人々が問題を解明しようとしたことを反映していると、Huntley は述べている。しかし現在は、「初期のスキャンに比べて、人々が体系的な方法で実施しているため、ある意味で問題が悪化していく可能性がある。いずれにしても、これは、他の脆弱性と同様に、現在のインターネットの背景にある脅威だろう」と述べている。

今回のデータは、2021年11月に発行された、第2回目の Threat Horizons レポートの一部として提供されている。このレポートは、CISO をはじめとする情報セキュリティ関係者が、Google Cloud などのセキュリティ・チームが目にしている脅威について、洞察を得るための定期的なレポートである。

北朝鮮の脅威

この報告書では、2021年3月に Google の Threat Analysis Group が、セキュリティ研究者を標的とする北朝鮮のキャンペーンの一部だと特定した、インターネット・ドメインについても触れている。

このドメインは、セキュリティ企業の ESET が 2021年11月に、トロイの木馬化したソフトウェアの配布に使用されていると指摘したものだ。昨年に限らず、北朝鮮のハッカーの取り組みの一環として、セキュリティや脆弱性の研究コミュニティに対して、複数のキャンペーンが展開されたと、Google はレポートで指摘している。

Huntley は CyberScoop に対して、「この情報が Threat Horizons レポートで取り上げられた理由は、この種のリスクに自社の研究者が潜在的に直面していることを、CISO などのセキュリティ関係者が知るべきだからだ。継続的に行われている活動だが、悪意の活動が通報されると、波のように押し寄せてくる」と述べている。

2月2日に Wired が報じたところによると、「北朝鮮の活動の一環として標的にされたセキュリティ研究者の1人は、北朝鮮のインターネットを短期間だけ停止させた」と主張しているようだ。

報告書の他の項目には、有名な Cobalt Strike に代わる、オープンソースの Sliver を使った攻撃の拡大が解説されている。この Sliver は、敵対者がネットワークを攻撃する方法をエミュレートするように設計されているが、マルウェア・アクターが使用することも可能だ。また、この業界のレッドチームが大切にしているビルトイン・ツールの能力は、悪意の攻撃者にとっても好ましいソフトウェアとなる。

同様に、Google Cloud のレポートでは、攻撃者が同社のサービスである Cloud Shell の機能を悪用して、同プラットフォームから他を攻撃するための手段として機能させている様子が、詳細に報告されている。Venables は、「これは、ユーザーが目にする攻撃の中で増加している要素だ。十分なセキュリティを維持していない Google Cloud のユーザーの場合、このような行為を目にするのは、ごく一部に過ぎない」と指摘している。

40万回のスキャンというのは、単純に考えてもすごい数字ですね。文中にもあるように、セキュリティ研究者たちも大量のスキャンを行っているはずなので、この数字が攻撃のための探査を表すものではありません。ただ、このところ気になるのが、アクセス・ブローカーの動きです。1月26日の「VMware Horizon への Log4Shell 攻撃:悪名高いアクセス・ブローカーが参戦」や、2月2日の「アクセス・ブローカー Prophet Spider が Log4Shell 攻撃を増幅させる」などがありますので、よろしければ、ご参照ください。 → Log4j まとめページ

%d bloggers like this: