Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

クラウド利用開始の前にすべきこと

つぶやいてみた。

グーグルの最新調査によると、クラウド穴が意外とある事が分かります。

japan.zdnet.com

 Google Cloud Platform(GCP)で実行されているセキュリティ設定の甘いクラウドインスタンスは、侵害後すぐに暗号資産(仮想通貨)マイニングマルウェアに感染させられていることが分かった。

 悪質なアクターが、侵害されたクラウドインスタンス内で暗号資産マイニングを実行していることが確認されている。侵害されたGoogle Cloudインスタンスの86%は暗号資産マイニングの実行に利用され、CPUやGPUのリソースが消費されていたという。攻撃者は貧弱なセキュリティ体制や脆弱なサードパーティーのソフトウェアを悪用し、Google Cloudインスタンスへのアクセスを獲得している場合が多い。

 また多くの場合、インスタンスを侵害した後の攻撃者の行動は非常に素早く、わずかな時間で暗号資産マイニングマルウェアをインストールしていることも分かった。

 Googleが発表したレポート「Threat Horizons」では、「不正な暗号資産マイニング活動に使用されたシステムを分析したところ、時系列に関する情報が明らかなケースでは、58%でインスタンスが侵害されてから22秒以内に暗号資産マイニングマルウェアがシステムにダウンロードされていたことが明らかになった」と述べている。

 

キタきつねの所感

やれクラウドだ、DXだと積極的にオンプレミスから移行を積極的に進めている企業にはゾッとする話かも知れません。設定が甘いクラウド環境が”コインマイナー”(仮想通貨マイニングマルウェア)のリソースとして狙われている事は、企業側が警戒すべきことかと思います。

自社のサービスリソースがひっ迫するだけでなく、クラウドの契約によっては”マイナー分”までクラウド利用費用を支払わされてしまう事もあるかと思います。

また、クラウド設定に対する(初期導入・定期的な)チェックや動作監視などが甘いと、被害が長期化する恐れもあります。

 

問題なのが、IaaS側が手を出しにくい(守ってくれない)ユーザ責任領域上の問題である可能性が高い事かも知れません。IaaSとユーザ側の責任分解点がどこにあるかは、様々かと思いますが、コインマイナーの動作は、正規の運用かも知れない・・・とIaaS側から見えてしまう事も、攻撃者側にとって有利な領域と言えるかも知れません。

 Googleのレポートで明らかになったように、インスタンスを適切に保護できていないGCPユーザーにとって、暗号資産マイニングマルウェアは大きな問題だ。

 侵害されたGoogle Cloudのインスタンスの一部は、単一のインスタンス内で複数の悪質な行為が行われているという。Googleは、「データの盗難がこれらの侵害の目的ではないようだが、悪意のあるアクターは複数の形態で悪質な行為を実行し始めており、これはクラウド資産の侵害に関連するリスクとなっている。インターネットにさらされたクラウドインスタンスはスキャンや総当たり攻撃の対象となりやすくなっていた」と指摘する。

(ZDnet記事より引用)

 

記事では、先日paloaltoが出した調査データを引用していますが、RDP、SSH、SMB、PostgresDBの脆弱性ハニーポット)は、公開されて80%が1日で侵害されたと発表しています。

unit42.paloaltonetworks.com

ユニット42の研究者は、リモートデスクトッププロトコル(RDP)、セキュアシェルプロトコルSSH)、サーバーメッセージブロック(SMB)、およびPostgresデータベースの複数のインスタンスハニーポットインフラストラクチャに展開しました。研究者は、320個のハニーポット80%が24時間以内に危険にさらされ、すべてのハニーポットが1週間以内に危険にさらされたことを発見しました。

(中略)

 「この調査結果は、脆弱なクラウドインスタンスを発見するために、パブリックIPアドレス空間が定期的にスキャンされていることを意味する。クラウドインスタンス脆弱性がある場合、それが発見されるのは時間の問題だ」とGoogleは述べている。

 

攻撃者は当たりをつけた危険性の高い脆弱性を”常にスキャンしている”事と考えると、外部に公開されるクラウドサービスの設定開始(変更)前にセキュリティチェックをする事が、オンプレミス以上に重要になってきていると思います。

 

グーグルの調査では、かなり”悲惨な状態”である事が書かれており、ほぼ何もチェックせずにクラウドインスタンス利用がスタートする可能性が高い事を示唆しています。だから狙われる、というのが現状を表しているのかも知れません。

調査では、侵害されたインスタンスの半数弱は、ユーザーアカウントにパスワードが設定されていなかったか、パスワードが脆弱だった、あるいはAPI接続の認証がなかったことが明らかになった。

ZDnet記事より引用)

 

こうした設定ミスが暗号通貨のマイニングを狙ったものだけでなく、企業の機密情報を窃取する、あるいは企業内ネットワークに侵入する足掛かりにされるといった攻撃も十分に考えられますので、”穴”として放置せずリリース前にセキュリティ視点でチェックする、セキュリティbyデザインの考え方で運用ルールを見直すことが重要なのかと思います。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

仮想通貨をマイニングするコンピューターのイラスト

 

更新履歴

  • 2021年11月30日 AM