クラウド侵入者：手遅れになる前に侵害されたユーザーを特定する

本文の内容は、2025年2月12日に Matt Kim が投稿したブログ(https://sysdig.com/blog/spotting-compromised-users/)を元に日本語に翻訳・再構成した内容となっております。

アイデンティティは、現代の脅威アクターがクラウドに足がかりを得る最も一般的な方法の 1 つになっています。盗まれた認証情報から、過度に許容度の高いロールや権限エスカレーションまで、攻撃者はさまざまな戦術を使用してアイデンティティを悪用し、それを使用して壊滅的な侵害を開始します。いったん環境に侵入すると、攻撃者は横方向に移動したり、リソースを悪用したり、機密データを盗んだりすることができ、セキュリティチームは被害の封じ込めに追われます。昨年は、SnowflakeやTicketmaster を標的とした攻撃など、侵害されたユーザーが多数の大規模な攻撃を受けました。

これらのアイデンティティベースの攻撃が頻発していることは、攻撃の初期段階での検知がいかに重要であるかを示しています。侵害されたユーザーをリアルタイムで検出することで、攻撃者の動きを阻止でき、最小権限アクセスのポリシーを適用することで、攻撃そのものを未然に防ぐことが可能です。アイデンティティ活動の可視性を向上させることで、組織はリスクへの露出を制限し、侵害が発生した際の対応力を強化できます。強力なクラウドインフラの権限管理（CIEM）と、リスクの高いユーザーやロールを特定するツールを組み合わせることが、攻撃者の一歩先を行くための鍵となります。

アイデンティティベースの脅威に正面から取り組むには、組織はインシデントへの対応からプロアクティブな対応へとシフトする必要があります。アイデンティティコンテキストを活用し、ゼロトラスト原則を実施することで、セキュリティチームは攻撃対象領域を縮小し、脅威が発生したときに正確に対応することができます。

盗まれた認証情報がAI攻撃を助長

侵害されたアイデンティティは、機密データだけでなく、AIワークロードのような価値の高いリソースを標的とする攻撃の出発点となることが多くなっています。攻撃者にとって、AIワークロードは新たな主要ターゲットとなりつつあります。Sysdigの脅威リサーチチーム（TRT）は、2024年5月に、盗まれたクラウド認証情報を使用してクラウド上の大規模言語モデル（LLM）を標的にする攻撃、いわゆる ”LLMjacking” を観測しました。攻撃者がLLMへのアクセスを取得すると、それを売却して金銭的利益を得たり、無料のLLMリソースを自身で悪用したりすることが可能になります。

このLLMjacking攻撃で盗まれたのは、ローカルにホストされたAnthropic Claude 2.xモデルへのエンタープライズアクセスであり、被害者にとっては1日最大46,000ドルのコストが発生する可能性がありました。しかし、モデルの進化や価格の上昇により、現在では1日あたり10万ドル以上の損害が生じるケースもあります。さらに、金銭的損失にとどまらず、攻撃者は貴重な学習データを狙うこともできるため、アイデンティティを悪用した侵害がいかに危険であるかが浮き彫りになっています。

Sysdigは、LLMjackingのような攻撃が2025年にさらに増加すると予測しています。攻撃者が自動化を進め、AIを活用して作戦を拡大するにつれ、セキュリティチームが対応するのは一層困難になるでしょう。最善の防御策は、侵害されたユーザーを早期に検出し、攻撃者がクラウド環境を悪用する前に阻止することです。

侵害されたユーザーの検出

侵害されたユーザーを見つける最も良い方法は、疑わしいアクティビティの兆候がないか、アイデンティティの振る舞いを監視することです。通常とは異なるログイン、権限昇格の試み、API 呼び出しの急増などの兆候は、多くの場合、攻撃の最初の兆候です。これらの警告サインを見つけるだけでなく、セキュリティ チームは、攻撃者が侵害されたアカウントを悪用するのを迅速に阻止できるように、何が起きているかを理解するためのコンテキストも必要とします。

Sysdig Cloud Identity Insights は、攻撃に先手を打って対処するために必要なコンテキストを使用して、お客様がこのプロセスを効率化するのに役立ちます。強力な防御は、ユーザーが通常はアクセスしないリソースを調べたり、偵察を行ったり、権限昇格を試みたりするなど、異常なアクティビティを特定することから始まります。しかし、作業はそこで終わりではありません。そこから、チームはアカウントが本当に侵害されているかどうかを迅速に調査して確認できる必要があります。ここで、適切なコンテキストが大きな違いを生みます。タイムライン、範囲、および関連するアクティビティを理解することで、チームは迅速に行動し、誤検知に時間を浪費することを避けることができます。侵害が確認されると、認証情報の取り消し、アクセスのロックダウン、アカウントの分離など、脅威の封じ込めが優先されます。これらの手順を実行することで、組織は攻撃者より一歩先を行き、クラウド環境を安全に保つことができます。

最もリスクの高いユーザーとロールを特定する

侵害されたユーザーを検出することは侵害を阻止する上で不可欠ですが、組織がセキュリティ態勢の強化とアイデンティティの管理改善にも注力しなければ、攻撃は繰り返されます。クラウド環境内で最もリスクの高いユーザーやロールを特定することは、攻撃が発生する前に防ぐための有効な手段です。Sysdigは、組み込みのリスクポリシーを提供し、最も脅威となるユーザーやロールを特定できるよう支援します。これにより、セキュリティチームはリスクの高いユーザーやロールに優先的に対応し、防御を強化すべき領域にリソースを集中させることができます。

特定のユーザーやロールが特にリスクの高いものとなる要因はいくつかあります。多要素認証（MFA）を有効にしていないアカウントは、簡単に侵害されるため明確な標的となります。過剰な権限を持つロール、特に管理者権限を持つロールが悪意のある攻撃者に渡ると、横展開や権限昇格を引き起こす可能性があります。また、長期間使用されていない非アクティブなアカウントや、管理者に忘れ去られた孤立したアカウントも問題となります。さらに、アクセスキーを定期的にローテーションしないアカウントは、静的な認証情報が盗難や不正使用のリスクにさらされるため、警戒すべきポイントです。Sysdigはこれらのリスク要因を特定し、セキュリティチームが最も注意を払うべきアカウントに焦点を当てられるよう支援します。

目標は、リスクの高いユーザーやロールを特定することだけではなく、その情報を基に適切な対策を講じることです。最小権限ポリシーの適用、多要素認証（MFA）の導入、権限の厳格化、アクセスキーの定期的なローテーションの強制などは、リスクを軽減するために実施すべき重要な対策の一部です。最も悪用されやすいアイデンティティに優先的に対処することで、組織は潜在的な脅威を先手を打って防ぐことができます。

まとめ

侵害されたアイデンティティやリスクの高いロールは、攻撃者がクラウド環境へアクセスする最も一般的な手口の一つです。不審なアクティビティを早期に検知し、アイデンティティ管理の問題を修正することで、侵害の防止に大きく貢献できます。即時検出と長期的なセキュリティ態勢の改善の両方に取り組むことで、組織はリスクを低減し、攻撃者が成功するのをより困難にすることが可能になります。

Sysdigは、CIEMやCloud Identity Insightsといったソリューションを提供し、これらの課題に対応できるよう支援します。リアルタイムでのアイデンティティの可視化と、リスクの高いユーザーやロールの特定を通じて、Sysdigは脅威を早期に検出し、攻撃者の一歩先を行くためのサポートを提供します。

アイデンティティのセキュリティを強化する方法について詳しく知りたい方は、ぜひ弊社の専門家にご相談ください！