本文の内容は、2024年10月4日に Michael Clark が投稿したブログ(https://sysdig.com/blog/aws-launches-improvements-for-key-quarantine-policy/)を元に日本語に翻訳・再構成した内容となっております。
最近、AWS はAWSCompromisedKeyQuarantine ポリシー(v2 および v3)の範囲を拡大し、新しいアクションを追加しました。このポリシーは、AWS が侵害された疑いのあるアクセスキーをロックダウンするために使用されます。このプロセスが実際に行われている一般的な例としては、AWS がパブリック GitHub リポジトリをスキャンして見つかったキーに自動的に検疫ポリシーを適用することが挙げられます。
このプロアクティブな保護メカニズムにより、侵害が発生する前に阻止できます。ただし、ポリシーによって制限されるアクションは限られています。MAMIPプロジェクトは、 AWSCompromisedKeyQuarantine などの AWS 管理ポリシーの変更を継続的に監視しています。2024 年 10 月 2 日には、ポリシーの変更が検出され、制限される約 29 の新しいアクションが追加されました。
MAMPI リポジトリ
追加されたアクションのリストを見ると、AWS が脅威が認証情報を侵害する際に悪用するアクションを監視していることは明らかです。リストに追加された理由を理解するために、具体的な例をいくつか見てみましょう。
LLMjackingの出現は、今年初めに Sysdig によって報告されましたが、これはホストされた LLM をさまざまな目的で悪用するものです。Anthropic の Claude のようなモデルは安価ではないため、この攻撃ベクトルは被害者にとって非常に高額になる可能性があります。ポリシーの変更では、5 つの AWS Bedrock 呼び出しが制限されていることがわかります。これらのアクションはすべて、上記の脅威レポートで攻撃者が使用したことが示されているものです。
AMBERSQUID は、2023 年 9 月に Sysdig TRT によって検知されたオペレーションで、あまり知られていない AWS サービスを利用して暗号通貨マイニングを実行しました。具体的には、攻撃者はオペレーション中に Amplify、CodeBuild、Sagemaker、および ECS サービスを使用しました。AMBERSQUID 攻撃者は、盗んだ認証情報を使用して、これらすべてのサービスを使用して非常に迅速にマイナーを起動しました。これらのサービスは知名度が低く、EC2 などのサービスと同じ潜在的な可視性を提供しない可能性があるため、検出が不足しているため、魅力的なターゲットとなっています。ポリシーが変更されたため、アクセスキーに検疫ポリシーが添付されている場合、これらのアクションの多くは実行できなくなります。
今年初め、Datadog は、 ECS ベースの攻撃について報告しました。この攻撃では、侵害された認証情報を使用して Fargate クラスターを作成し、暗号通貨マイナーを実行していました。攻撃者はランダムな名前を使用し、さまざまなリージョンに活動を広げました。このアプローチにより、攻撃者は活動を拡大して、停止される前にできるだけ多くの収益を上げることができました。
今年Datadog が報告した別の攻撃は、攻撃者が Simple Email Service (SES) を悪用してスパムやフィッシング メッセージを送信する方法をカバーしています。これは、侵害された認証情報を使用して金銭を稼いだり、攻撃者の目的を達成したりするもう 1 つの方法です。ECS と SES の両方のアクションが、ポリシー変更で対処されるようになりました。
これらはAWSによって講じられた重要な対策ではあるものの、これらの保護はAWSが不正使用の疑いがあると判断したアクセスキーにのみ適用されることを忘れてはなりません。もしAWSCompromisedKeyQuarantineがそのキーに適用されていない場合は、制限は一切適用されません。したがって、組織の認証情報を適切に保護し、不正使用の兆候がないか常に監視することが依然として非常に重要です。