本文の内容は、2024年10月22日に Michael Clark が投稿したブログ(https://sysdig.com/blog/sysdig-2024-global-threat-report/)を元に日本語に翻訳・再構成した内容となっております。
クラウド攻撃が非常に迅速に発生することはよく知られています。Sysdig脅威リサーチチーム(TRT)による3回目の年次レポートとなる 2024年グローバル脅威レビュー では、過去12か月間の最も注目すべき調査結果を再検討し、それらがより広範なサイバー脅威の状況にどのように関連しているかを探ります。今年のレポートには、2025年のセキュリティの見通しと今後のトレンドに関する予測も含まれています。
2023年のグローバルクラウド脅威レポートでは、Sysdig TRTが、通信および金融業界がクラウド攻撃の標的になることが最も多いことを発見しました。チームはまた、複数のクラウドサービスが悪用され、設定ミスが狙われている事例を詳述し、サプライチェーンに隠された悪意のあるイメージにも深く掘り下げました。最も重要なこととして、Sysdig TRTは、クラウド攻撃者が初期アクセスから影響を与えるまでに平均して10分以内で達することができることを証明しました。この発見は、Sysdigが過去1年間にリアルタイムの脅威検知と迅速な対応を優先する原動力となりました。
今年のSysdigグローバル脅威レビューでは、サイバー犯罪者が無料のクラウドリソースや金銭的動機に駆られ、クラウド環境を迅速に悪用し、しばしば数万ドルものリソース消費費用を引き起こす方法について説明しています。レポートの各セクションでは、攻撃者が公にさらされた認証情報や盗まれた認証情報、既知の脆弱性にアクセスして活用する際に武器としているオープンソースツールを特定しています。さらに重要なのは、攻撃者がクラウド環境に精通し、適切なツール、アクセス、知識を持って自動化を駆使し、驚異的な効率で攻撃キャンペーンを拡大している点です。
クラウドコンピューティングがグローバル企業にとってますます不可欠になる中で、攻撃がどのように発生し、どのように軽減できるかを理解することが重要です。以下で今年のハイライトをいくつか紹介しますが、詳細はレポート全文をご覧ください。
ハッカーのための高速レーン
Sysdigの2024年レポートで最も驚くべき発見の一つは、大規模な攻撃が非常に迅速に展開されることです。クラウドインフラストラクチャーは、企業に機動性とスケーラビリティを約束する一方で、攻撃者にも同様の利点を提供します。暗号資産の不正マイニング(クリプトジャッキング)からDDoS攻撃に至るまで、攻撃のスピードは近年大きな懸念事項となっています。しかし、クラウド環境におけるスケーラビリティの容易さにより、数時間で被害者のコストが80,000ドルに達する場合もあります。
自動化されたリソースの不正利用も進化しています。Sysdigが2024年に特定した LLMjacking では、攻撃者が大規模言語モデル(LLM)をホストしているクラウドアカウントへのアクセスを盗むというものです。OpenAIのGPTやAnthropicのClaudeといったこれらのモデルは非常に価値が高く、運用コストも高額なため、攻撃者にとって主要な標的となります。この攻撃はクリプトジャッキングなどのリソースを基にした他の攻撃と似ていますが、はるかに高いコストがかかるのが特徴です。
無料テクノロジーのダークサイド
Sysdig TRTは、攻撃者がオープンソースツールを悪意のある目的で活用する事例が急増していることも観察しました。レポートには、さまざまなアクターが悪意を持って使用している多くのオープンソースツールが詳細に記されています。注目すべきサーバー攻撃の1つである CRYSTALRAY では、ペネトレーションテストツールが武器化され、1,500人以上の被害者から情報が盗まれました。このグループのオープンソース技術スタックは、攻撃者が正当な利用と悪意ある活動の境界を曖昧にする手法を示しており、これは攻撃者が通常のネットワーク活動に溶け込むことを目指しているため、ますます一般的になっています。
ボットネットの支配
2024 年に最も衝撃的な発見の 1 つは、ルーマニアの RUBYCARP ボットネット グループの摘発でした。このグループは、カスタムツールと高度な永続化技術に重点を置いていたため、10 年以上にわたって検出を逃れていました。このボットネットは主に Laravel や GitLab などのアプリケーションの脆弱性をターゲットにしており、適応力とレーダーをすり抜ける能力により非常に効果的でした。ほとんどのボットネットは最終的に特定され、シャットダウンされますが、RUBYCARP の活動は、忍耐とステルスが長期的な成功につながることを示しています。たとえば、このグループは暗号通貨マイニングで得た金銭的利益により、長年にわたって安定した収入源となっています。あるメンバーはわずか 2 年で 22,800 ドルを蓄えましたが、これはルーマニアのかなりの年収に相当します。
この執拗さは、長期戦を仕掛ける今日の攻撃者の巧妙さを物語っています。攻撃者はレーダーの下を潜り抜けることで、あまり注目を集めることなくシステムを悪用し続けることができます。
被害者の経済的負担とコストの増大
今年のレポートでは、クラウドベースの組織に対する攻撃の経済的損失が増大していることが強調されています。侵害はより頻繁に発生するだけでなく、より高額な費用もかかっています。IBM の2024 年データ侵害コストレポートによると、2024 年のデータ侵害の平均コストはクラウド環境で 517 万ドルで、オンプレミスでの平均侵害よりも 100 万ドル高額です。
攻撃の迅速化、リソースの搾取、執拗さが組み合わさっているため、企業は油断すると莫大なコストを被る可能性があります。たとえば、このレポートでは、数千の仮想通貨マイニングノードの作成により被害者に 1 日あたり 22,000 ドルのコストを課した新種の仮想通貨マイニング攻撃について詳しく説明しています。一方、Anthropic Claude 3 Opus モデルを活用した LLMjacking 攻撃では、被害者に 1 日あたり 100,000 ドルのコストが課されました。
防御を固める
Sysdig TRT の今年の調査結果から、防御側は、現代のクラウド脅威の変化する速度と複雑さに合わせて戦略を適応させ続ける必要があることが明らかになりました。
Sysdig TRT の主な推奨事項の 1 つは、リアルタイムセキュリティの採用です。多くの攻撃 (特に LLM やボットネットなどのリソースを標的とする攻撃) は従来のログに明らかな痕跡を残さないため、異常なランタイム動作をリアルタイムで監視して警告することが重要です。
さらに、自動化は防御側にとって重要になっています。攻撃者が自動化を利用して大規模な攻撃を仕掛けるのと同様に、セキュリティチームは自動化を活用して異常を検出し、リアルタイムで対応する必要があります。セキュリティチームは、一般的な使用パターンを理解してベースラインを設定する必要があります。そうすることで、LLM 呼び出しや暗号通貨マイニングアクティビティの急増などの逸脱がすぐにフラグ付けされ、調査できるようになります。
もう 1 つの重要な防御メカニズムは、クラウドの誤った構成の管理です。クラウド侵害の大部分は、適切なツールと実践で簡単に修正できる単純な誤った構成に起因しています。クラウド環境を継続的に監視および監査することで、攻撃者が悪用する前にこれらの脆弱性を特定して解決することができます。
まとめ
Sysdig 2024年グローバル脅威年次レビューレポートは、今日のセキュリティ状況について厳しいながらも正確な現状を描いています。攻撃がこれまで以上に速く発生している中で、組織はスピード、オートメーション、そして高度な脅威検知に焦点を当てることが必要です。攻撃者がオープンソースツールを利用し、設定ミスを悪用し、リソースを乗っ取る状況が続く中で、堅牢でリアルタイムなクラウドセキュリティソリューションの重要性はこれまでになく高まっています。