Sysdig による最初の年次クラウドネイティブ脅威レポートでは、クラウドにおける今年の最も重要なセキュリティ トピックのいくつかを調査しています。コンテナやクラウドサービスの利用が拡大するにつれ、脅威アクターはこの新しい攻撃対象にますます目を向けるようになっています。クラウドは、クラウド・リソース特有のスケーラビリティと複雑性により、脅威行為者にユニークな機会を提供します。
その結果、悪意のある一人の人間が、設定ミスや古いエクスプロイトを悪用するだけで、多大な影響力を持つようになることが判明しました。これから説明するように、彼らは被害者のインフラストラクチャーからほとんど受動的に数千ドルを稼ぐことができるのです。
コンテナは、開発者がインフラストラクチャーを迅速に稼働させることができるため、非常に便利です。しかし、脅威者は、これらのビルド済みコンテナの中に悪意のあるコードを潜ませることができます。1つでも誤ったイメージを読み込むと、環境全体が侵害される可能性があります。
脅威の仕掛け人は、利益や諜報活動が目的だと思われがちです。ロシアのウクライナ侵攻は、地政学的な事象が、利益追求からサイバー攻撃による紛争への参加へと移行を促す可能性があることを示しています。
そのハイライトを見てみましょう。詳しくは、レポート全文(日本語版)をダウンロードしてご覧ください。
クリプトマイニングのリアルなコスト
クリプトマイニングは、利益を追求する脅威行為者の間で人気が高まり続けています。クリプトマイニングには、ランサムウェアよりもはるかに低いオーバーヘッドを持つなど、いくつかの利点があります。マイニングは、コンピューティングリソース上で実行されるだけで、お金が入るようになります。また、プライバシーに配慮した暗号コインもいくつかあり、摘発が困難になっています。TeamTNTは、これらのクリプトマイニングを行う脅威アクターの中で最も有名な存在です。何年も前から運営されており、直接帰属するクリプトウォレットで少なくとも8,100ドル以上の暗号資産をマイニングしたと見做しており、これにより被害者が被った損害額は43万ドル以上にもなりました。この脅威アクターは、おそらくたった1人で、設定ミスやパッチ未適用の脆弱性を利用したスクリプト攻撃で、機会を逃さずターゲットに侵入しています。
クリプトマイニングは、表面上は深刻な脅威ではないように見えますが、クラウドプロバイダーからのの請求書を見て、その脅威に対する認識が変わります。クラウドを利用したクリプトマイニングは、被害者にとって深刻な経済的負担となります。攻撃者が1ドルの利益を得るために、被害者は53ドルの費用を負担することになります。
クリプトマイニングによる侵害のコストは、時間の経過や規模が大きくなるにつれて膨大になる可能性があります。
Docker Hubからのサプライチェーン攻撃
Sysdigクラウドネイティブセキュリティと利用状況レポートによると、プルされた全イメージの61%は公開リポジトリから来たものです。脅威アクターもこれを知っているので、これらのパブリックリポジトリを攻撃のベクトルとして利用しています。Sysdig脅威リサーチチーム(Sysdig TRT)は、Docker Hubをスキャンし、静的解析とランタイム解析の両方を使用して悪意のあるコンテナイメージを特定するカスタムシステムを構築しました。
この分析では25万以上のイメージがスキャンされ、その結果、脅威者がDocker Hubを積極的に利用してマルウェアを拡散していることが明らかになりました。これは主にクリプトマイナーの形で現れたもので、この時点では驚くことではありません。しかし、悪意のあるウェブサイト、ハッキングツール、その他の不要なソフトウェアも、これらのイメージから発見されました。それだけでなく、機密情報の埋め込みも2番目に多く発見されました。悪意のあるコンテナは、pytorchやDrupalなど、他の正当なパッケージに偽装されていることが確認されました。
組織内のコンテナ利用者が誤ってこれらの悪意のあるイメージを使用しないようにすることが重要であり、サプライチェーン攻撃によるより大きな侵害につながる可能性があります。そのため、Sysdig TRTは、お客様を保護するために、SHA-256ハッシュを使用して、既知の悪質なコンテナイメージの継続的な更新フィードを作成しました。
地政学とハクティビズム
2022年2月24日、ロシアによるウクライナへの侵攻で軍事作戦と並行して、両者の間でサイバー戦争も始まりました。サイバー戦争作戦がこれほど公然と軍事作戦に利用されたのは初めてのことです。このサイバー紛争では、15万人以上のボランティアがハクティビストとしてウクライナ側に参加しました。分散型サービス拒否(DDoS)やハードディスク・ワイパーを使った破壊的な攻撃は、少なくとも公に直面している側では、このサイバー戦争の特徴となっています。両陣営のハクティビストは、DDoS攻撃に参加することで主に参加しています。Sysdigグローバルハニーネットでは、侵略開始直後から、DDoSマルウェアのインストール量が急増するという新しい傾向が見られるようになりました。それ以前は、インストールされるマルウェアの大半はクリプトマイニングに関連するものでした。
また、この紛争の参加者は、コンテナを使用することで、簡単に参加できるようになりました。DDoSツールは、ユーザーが自動的にターゲットリストを引き下げることができるように設定され、Dockerコンテナにプレインストールされて急速に配布されました。これらのコンテナは、Docker Hubのような公開リポジトリを使用して共有されました。これにより、人々が参加するためのハードルが大幅に下がり、双方の参加者が増加しました。
まとめ
攻撃者は、目的がクリプトマイニングであろうと、データの盗難であろうと、攻撃プラットフォームであろうと、クラウド リソースがどれほど価値があるかを理解し始めています。この傾向は、より多くの企業がオンプレミスからクラウドに移り変わるとしても変わることはないでしょう。そのような論理はコンテナにも及び、サプライチェーンへの脅威を考える際に考慮しなければならないもう一つの依存関係になりつつあります。地政学的な状況全体はレポートの対象外ですが、各国がサイバースペースに移り住んだリソースに依存し始めると、こうした事象はますますサイバーに関わり続けることになるでしょう。セキュリティチームとDevOpsチームは、適切な防御を確実に実施できるように、直面している脅威を理解する必要があります。脅威がこれらのリソースを利用し始めたため、クラウドとコンテナ環境に対する可視性は非常に重要です。また、適切なインシデントレスポンスは、可視性が確保されている場合にのみ発生します。
もっと詳しく知りたいですか?すべての詳細については、「2022年度Sysdigによるクラウドネイティブな脅威に関するレポート」(日本語版)を今すぐダウンロードしてください。 過去のレポート(英語版)をこちらへのリンクで参照いただけます。