Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ランサムの次の攻撃対象はクラウド

考えてみた。

ランサムが近いうちにクラウドを狙ってくる、そんな記事がDarkReadingに出ていました。

www.darkreading.com

  

ランサムウェアは現在、サイバー犯罪者にとって10億ドル規模の企業であり、他の業界と同様に、時間の経過とともに進化し、より効率的になり、利益を最大化しています。ハッカーは、ランサムウェア攻撃を無差別に大量に実行することから脱却し、現在では、ファイルの安全な返還に対してより高い身代金を支払う可能性が最も高い企業や業界内の価値の高いターゲットを攻撃対象にしています。攻撃者がより多くのお金を稼ぐために戦術を改良し続けるにつれて、次世代のランサムウェアは、ファイルストア、Amazon S3バケット、仮想環境などのクラウドベースの資産を標的とすると考えています。

(中略)

今後、ランサムウェアは次の3つの理由でクラウドをターゲットにしていると思います。まず、クラウドはこれまでほとんどランサムウェアに触れられていないため、攻撃者にとって新たな市場機会です。

第二に、クラウドを介して保存または実行されるデータとサービスは、多くの企業の日常業務にとって非常に重要です。5年前、企業は短期的にクラウドを展開せずに機能することができたため、身代金を支払う圧力はそれほど高くなかったでしょう。現在、ほとんどの企業は、パブリッククラウドまたはプライベートクラウドの資産にアクセスできなくなった場合、障害が発生します。これにより、ここ数年で病院、市政府、発電所で見たのと同じように、サービスを迅速に回復するという強い圧力が生じます

第三に、クラウドは魅力的な集約ポイントを提供し、攻撃者がはるかに多くの被害者にアクセスできるようにします。単一の物理的なAmazon Web Serverを暗号化すると、そのサーバーにスペースをレンタルした数十の企業のデータがロックされる可能性があります。一例として、2019年の第1四半期と第2四半期のいくつかの攻撃では、悪意のある人物が複数のマネージドサービスプロバイダーの管理ツールをハイジャックし、それらをSodinokibiおよびGandcrabランサムウェアを顧客名簿に拡散するための戦略的エントリポイントとして使用しました。ここでも同じ原則が適用されます。中央のクラウドベースのプロパティをハッキングすると、攻撃者は数十または数百の被害者を攻撃できます。(中略)
クラウドサービスがより多くの企業の日常業務にますます重要になるにつれて、ランサムウェアの作成者は利益を最大化するために従います。良いニュースは、物理ネットワークに適用される同じベストプラクティスの多くでクラウドを保護できることです。今日、クラウドの展開を安全に保つためにあらゆる努力を払ってください。将来的には、あなたがしたことがうれしいでしょう。

(DarkReading記事より引用)※機械翻訳

 

キタきつねの所感

昨年もAWSやOffice365等が大規模障害で止まり、日本でも多くの企業が影響を受けました。これは、多くの企業が利用するクラウドサービスに対してランサム攻撃が成功したとすると、障害発生以上に困った事になる日本企業が多く存在する事を示唆しています。

ランサムが攻撃者側にとって大きなビジネス(10億ドル)になっている事を考えると、利益の最大化の原則に従って攻撃戦略をシフトしていくのは当然であり、大量ばら撒き型の攻撃がアンチウィルス(ふるまい検知)対策によって防御・検知が進む様になると、サービス停止の影響範囲が大きなヘルスケアや、地方自治体や、産業制御システム(OT)を狙い始めてきています。

企業がオンプレミス環境からクラウドへのシフトを加速している事を考えると、攻撃者が次の「市場」としてクラウドを狙うのは自然です。その兆候は、例えばAWSの設定ミスからの情報漏えい発表にも表れている気がします。

AWSは以前から警告を発している - Fox on Security

 

さらに言えば、DarkReading記事では3番目の理由に挙げられている、MSP(マネージドサービスプロバイダー)=RDPを狙った攻撃は成功率は低いかも知れませんが、脅威としては大きいと感じます。MSP利用企業は、MSPの脆弱性が常に探されていると理解して、無条件にMSPを信頼する事を避けた(ゼロトラストの)セキュリティ体制を構築する必要があると思います。

日本のセキュリティ思考は時代遅れになりつつある - Fox on Security

リモートアクセスにもゼロトラスト - Fox on Security

 

マイクロソフトAmazonクラウドは、インフラレイヤー(IaaS)としてのセキュリティは担保してくれるかも知れませんが、それで全てがカバーされる訳ではありません。また、去年の大規模障害が多発した際の記事を読む限りでは、「シングル構成」でBCP(バックアップサイト)を考慮してない企業も多数ある様です。

これらは、ランサム攻撃側から見ると「身代金(授業料)を払ってくれそう」な潜在的対象に他なりません。

クラウドの自社資産が暗号化されても、紙とペンとFAXで乗り切れる企業以外は、近い将来、高い従業料を払う為にビットコインを買う羽目に陥るかも知れません。

 

 

参考までDarkReadingでクラウド強化ガイドとしてオラクルのブログ記事を推奨していましたのでリンクを貼っておきます。(英語ですが)

blogs.oracle.com

 

 

本日もご来訪ありがとうございました。

Thank you for your visit.

 

DDoS攻撃のイラスト

 

更新履歴

  • 2020年2月22日 PM(予約投稿)