本文の内容は、2023年8月2日にMICHAEL CLARK が投稿したブログ(https://sysdig.com/blog/2023-global-cloud-threat-report)を元に日本語に翻訳・再構成した内容となっております。
Sysdig脅威リサーチチーム(Sysdig TRT)の第2回脅威レポートには、今年最もホットで重要なサイバーセキュリティのトピックに関する調査結果と分析が満載です。脅威アクターはクラウドを積極的に活用し、検知を回避して攻撃を加速させています。
Sysdig TRTは、2022年版クラウドネイティブ脅威レポートの中で、主にクリプトマイニングを目的とし、クラウドとコンテナ環境の両方を狙うクラウドネイティブの脅威アクターであるTeamTNTのプロフィールを紹介しました。Sysdig TRTは、クリプトジャッキングの被害者は、攻撃者が盗んだリソースで得た1ドルにつき53ドルの損害を被ることを示しました。さらに、公開イメージリポジトリ内の悪意のあるコンテナについて報告することで、ソフトウェアサプライチェーンのセキュリティにも焦点を当てました。これらの悪意のあるイメージの一部は、ロシアのウクライナ侵攻に関連した DDoS(分散型サービス拒否)キャンペーンで使用されました。
今年、Sysdig TRTは、業種別標的型クラウド攻撃について調査し、電気通信業と金融業が最も頻繁に狙われていることを明らかにしました。クラウド攻撃者は、クラウドサービスを活用し、一般的な設定ミスを巧妙に悪用することで、テクニックやツールキットを洗練された方法で進化させながら攻撃を行なっていることを明らかにしました。クラウドにおける攻撃はまさに光速のようであり、わずか数分が検知と深刻な被害の分かれ目となっています。
最後に、Sysdigチームはサプライチェーンのセキュリティに関するリサーチを進めました。攻撃対象としてソフトウェアリポジトリを調査し、ランタイムセキュリティ制御によってのみ識別可能な隠れた悪意のあるイメージについて再考しました。以下にその一部をご紹介しますが、詳細については報告書全文をダウンロードしてご覧ください。
クラウドの自動化とスピードの武器化
多くの企業がクラウドネイティブ環境に移行し、その環境が複雑化するにつれ、攻撃者にもこの環境が利用されています。報告されている攻撃者の滞留時間は減少し続けており、これは、防御者が自分たちの仕事をうまくこなし、私たちの環境で攻撃者を迅速に発見していることを意味します。Mandiant社によると、ある組織が侵害を発見するまでの滞留時間はわずか16日でした。攻撃者は、捕まる前に行動できる時間が短くなっていることを知っています。クレデンシャルが発見されてから5分以内に、標的型攻撃はすでに始まっています。さらに5分もすれば、攻撃者は特権の昇格、破壊的な攻撃、金銭的な動機の有無にかかわらず、目標を達成してしまいます。
攻撃者はステルスモードで活動
クラウド攻撃者はスピードが速いだけでなく、防御側にとっても発見が難しくなっています。攻撃者は、クラウドの複雑さを利用して紛れ込むことで、空気のように紛れて攻撃を行なっているのです。既存のクラウドサービスやポリシーを利用して被害者のクラウド環境を移動するため、IoCベースの防御は効果がなく、高度なクラウド脅威の検知が必須となります。
私たちは、攻撃者がAWS VPCを使用してソースIPアドレスを難読化している証拠を発見しました。これらの偽装IPは被害者のCloudTrailログに表示されるため、良性に見え、ソースIPアドレスに依存する典型的なセキュリティ対策を回避します。これにより、防御側は内部ネットワークで使用されている通常のIPアドレスと攻撃者を区別することが難しくなります。
レポートに記載されているもう1つの巧妙な攻撃では、攻撃者がAWS CloudFormationを利用して複数の権限昇格の機会を得ているのを目撃しました。ロールはロックダウンされているかもしれませんが、組織がCloudFormationを使用している場合、攻撃者が必要とする権限を取得するための別のルートを提供する可能性があります。
ランタイムの必要性
今年、カスタムビルドのDockerHubスキャナーを使用してさらに深く掘り下げ、標準的な静的解析と脆弱性スキャンがどれだけの悪意のあるイメージを見逃すかを正確に突き止めました。その結果、ランタイム解析は、静的解析と脆弱性スキャンの組み合わせでは発見できなかった、隠れた悪意のあるイメージを10%も多く発見することができました。
Sysdig TRTは、DockerHub以外にも調査を広げ、攻撃者が潜んでいる場所を突き止めました。PyPiリポジトリは最もユニークなインタラクションを受けましたが、これはAIにおけるPythonの使用と、このリポジトリを使用した最近のサプライチェーン攻撃によるものです。チームはまた、GitHubのHelmチャートが認証情報を探す攻撃者に最も狙われていることを確認しました。HelmはKubernetesクラスターを設定するための最も一般的なツールであり、Helmを侵害すると、攻撃者はKubernetesクラスター全体を侵害することができます。
まとめ
攻撃者は、防御者やセキュリティ管理者が使用しているのと同じクラウドリソースを受け入れ、フルに活用しています。クラウドネイティブのツールやアプリケーションがネットワークやセキュリティの主要な手段となるにつれ、攻撃者はますます精通するようになるでしょう。CSPとセキュリティベンダーが提供するセキュリティの改善を続ける中、攻撃者と防御者の双方にとって、サプライチェーンの侵害が優先事項であることは今後も変わらないでしょう。
さらに詳しく 攻撃の詳細と分析については、2023年版グローバルクラウド脅威レポートの全文をダウンロードしてください。また、Sysdig TRTが記述しているすべてのブログはこちらからご覧いただけます。