Hackers Exploit AWS Misconfigurations in Massive Data Breach
2024/12/10 InfoSecurity — ハッキング・グループ Nemesis/ShinyHunters と関連付けられる大規模なサイバー攻撃は、不適切にコンフィグレーションされた公開 Web サイトの脆弱性を悪用するものであり、顧客情報/インフラの認証情報/独自のソースコードといった、機密データの漏洩につながっている。独立系サイバー・セキュリティ研究者である Noam Rotem と Ran Locar によると、Amazon Web Services (AWS) の IP レンジ内で攻撃者たちは、脆弱なエンドポイントを標的とする大規模なインターネット・スキャンを組織化していたという。
この攻撃者たちは、ミスコンフィグされたシステムを通じて機密情報にアクセスし、2TB を超えるデータを侵害した。このデータには、世界中で悪用が可能なターゲットの詳細なリストに加えて、数千の認証情報とシークレットが含まれていた。
攻撃の仕組み
サイバー犯罪者は、2段階の攻撃戦略を実施した。
発見:公開されている AWS IP 範囲で攻撃者は、アプリケーションの脆弱性やミスコンフィグをスキャンし、潜在的なターゲットを特定した。彼らは、Shodan などのツールを介して IP アドレスを逆引きし、関連するドメイン名を抽出した。続いて、SSL 証明書を分析することで、ドメインのターゲット・リストはさらに拡大した。
悪用: このグループは、データベース・アクセス認証情報/API キーといったセキュリティ・シークレットや機密データを探し、公開されたエンド・ポイントをスキャンした。続いて、リモート・シェルなどのエクスプロイトにより、侵害したシステムの深層へと侵入していった。
乱された情報の内容は多岐にわたり、AWS キーから GitHub/Twilio/暗号通貨取引所などの認証情報までにいたった。その後に、Telegram チャンネルで、検証された認証情報とイニシャル・アクセスが数百ユーロで販売された。
この調査により明らかになったのは、解散した ShinyHunters グループと、Sebastien Raoult とのつながりである。その他の接点としては、盗まれた認証情報の販売で有名な、Nemesis Blackmarket との結び付きである。
Saviynt の CEO である Jim Routh は、「これらのギャングの存在は、大規模かつ営利目的で活動する、技術的に高度なサイバー犯罪シンジケートを示している。彼らは、クラウド・コンピューティングに移行する企業における、管理の弱点を特定するために、技術的なスキルを駆使するが、サービスの複雑さやクラウドが提供する管理を十分に理解していない。したがって、サイバー犯罪者間でのビジネスが前提となり、狙われる情報は多様なものとなり、犯罪者の活動規模も広大になる」と述べている。
緩和と予防
AWS は研究者と協力し、共有責任モデルにおける顧客側の、ミスコンフィグが侵害の原因であることを強調している。
具体的に言うと、以下のことを顧客にアドバイスしている:
- AWS Secrets Manager などのサービスを使用すべきである。
- ハードコードされた認証情報は避けるべきだ。
- 定期的にキーとシークレットをローテーションする。
- Web アプリケーション・ファイアウォール (WAF) を導入する。
- 機密情報のトリップ・ワイヤーとして CanaryTokens を使用する。
AWS は攻撃の影響を軽減するための措置を講じているが、専門家たちは、このような悪意の活動が続くと警告している。定期的な脆弱性評価などの予防策は、デジタル資産の保護において、依然として重要である。
AWS のミスコンフィグがイニシャル・アクセス・ベクターとなり、そこから脆弱性悪用などにつながり、大量の機密情報が盗み出されているようです。このミスコンフィグの問題は、何年も前から指摘されているものですが、一向に状況が改善されないのでしょう。したがって、その先に、広大な悪意のエコシステムが構築されてしまったようです。よろしければ、カテゴリ MisConfiguration を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.