クラウドの脅威レポート公開：脅威アクターはどのようにクラウドに適応しているか？

記事をシェアする:

組織のクラウド移行が加速する中、クラウドのセキュリティーはかつてないほど重要になっています。クラウド環境には、組織や顧客が侵害された場合にリスクにさらされる可能性のある貴重で機密性の高いデータが大量に保管されています。同時に、多くの組織がまだクラウド・セキュリティーとインシデント対応に関するベスト・プラクティスを見出そうとしています。

IBM X-Force Incident Response and Intelligence Servicesは、数多くのクラウド・セキュリティー・イベントへの対応実績があります。お客様やセキュリティー・コミュニティーのこの脅威についての理解が進むように、IBM Security X-Force 内部のデータを深く掘り下げて、攻撃者がクラウドを攻撃している方法を分析し、クラウドベースの侵害に対応するなかで観察された一般的な落とし穴を調査しました。攻撃者がクラウド内のデータを標的にするために使用している手法について、新しく公開された特別インテリジェンス・レポート「クラウドの脅威 セキュリティー・レポート2020」(488KB)で紹介されています。

この調査によると、クラウド・アプリケーションは、多くの場合、攻撃者が選択する侵害経路です。いったん侵入すると、攻撃者はランサムウェアや、クラウド環境内でより効果的に動作するように記述されたその他のペイロードをドロップします。脅威インテリジェンスを使用してクラウドベースの資産に対するリスクを理解し、クラウド・インシデントに対応するための適切なツールを準備することで、組織はこの進化を続けるサイバー空間にも備えることができます。

クラウド・アプリケーションが扉を開く

2019年1月以降、IBM Security X-Force が調査したクラウド・インシデントの45％は、脆弱なクラウド・ホスト・アプリケーションからの侵害によって引き起こされました。クラウド・アプリケーションはクラウド特有の設計を必要とし、従来のサーバーベースのアプリケーションには見られない脆弱性を示す可能性があります。その結果、クラウド・アプリケーションの脆弱性の防止と検出が困難になる可能性があります。

攻撃者が侵入するもう1つの一般的な方法は、クラウド環境の構成ミスです。 IBM X-Force 脅威インテリジェンス・インデックスによると、クラウドの構成ミスは、2019年に10億件を超えるレコードの紛失または盗難による侵害に結びついています。

クラウド環境へのアクセスを取得する脅威アクターが使用するもう1つの技術は、「遡上」です。アクターは初期アクセスで基盤となるホストに侵入し、管理システムにドロップしてクライアント環境間を移動します。上流への遡上は、脅威アクターのアクティビティーを正当な管理オペレーションとして隠すことがあり、インスタンス間でデータを移動する必要がある場合が多いため、2つを区別することは複雑になることがあります。

この手法は、2020年に重大な10点満点と言える脆弱性が公開されたときに公開されていました。この欠陥により、攻撃者はクラウド環境でハードウェアベースの分離を破ることができ、コードの傍受、プログラムの操作、同じハードウェアにホストされている他のユーザーの活動への影響を可能にしました。この脆弱性は修正されています。

いったん侵入すると、攻撃者はランサムウェアをクラウド環境に展開する可能性が他のタイプのマルウェアに比べて3倍高くなりました。攻撃者は、クラウド環境がビジネス上も重要であり、その環境をシャットダウンすると大規模かつ急速な被害が発生することを認識しています。

他の場合では、脅威アクターは、組織がクラウドに保持しているデータの山を盗み出します。クラウド環境は機密性の高い貴重な情報をホストすることが多く、このデータは脅威の攻撃者に盗まれたり、アンダーグラウンドの市場で悪用されたり、販売されたりする可能性があります。 IBM Security X-Force が対応したインシデントから、盗まれたデータの種類はクレジットカード番号から内部の電子メールまでさまざまであることがわかりました。

攻撃者はまた、クラウド環境を使用してクリプトマイニングを行うマルウェアをホストし、不正アクセスを迅速に収益化したり、場合によってはクラウド環境を悪意のある攻撃キャンペーンに利用したりしました。

クラウドに適応しているマルウェア

クラウド・インシデントの調査によると、サイバー攻撃者は、悪意のある目的のためにクラウド環境を侵害し、悪用することでマルウェアをより効果的に展開する新しい方法を発見しています。 X-Force は、攻撃オペレーションを迅速にスケールアップするためにクラウド環境を使用するマルウェアを見てきました。たとえば、1つのインシデント中に、X-Force はパブリッククラウド環境で実行されているバージョンのDemonBot を発見しました。これは、組織が、請求やリソース使用量の大幅な増加を検出することで被害を受けていることがわかりました。クラウドベースのマルウェアは、組織にとって現実のコストになる可能性があります。

さらに、QNAPCrypt ランサムウェアなどのクラウド環境の Linux ベースのファイル・ストレージ・システムを標的とする攻撃の増加により、攻撃者がクラウドで使用されるマルウェアを開発および強化していることがわかりました。

クラウド環境を危険にさらした後、一部の脅威アクターはこのアクセスを独自の運用インフラストラクチャーとして使用し始めました。このように、企業のクラウドは別の組織に展開されるマルウェアをホストしている可能性があり、被害とリスクを倍増させる可能性があります。

誤ったステップを回避することで時間と費用を節約

IBM Security X-Force の広範なインシデント対応の経験に基づいて、クラウド関連のインシデントの可能性に備えて、いくつかの重要な準備施策がわかりました。クラウド・セキュリティー戦略を検討するときは、必ず次の項目を実施してください。

• プロアクティブ・シミュレーションの活用 — 机上演習またはサイバー攻撃訓練を活用すると、組織は対応プレイブックを練習することができ、組織に潜在するギャップを見出すことができます。
• 適切なツールの使用 — インシデント対応中、クラウド環境では、ツールがエンドポイントでの場合ほど効果的に機能しないことがあります。クラウド環境内での調査とアクションのために特別に設計されたツールがあると、組織はクラウドベースの資産を守ることができます。
• 再イメージ化はせず、再デプロイする — インシデントが検出された場合、最初に本能的に思いつくのは、多くの場合、クラウドにホストされているマシンのイメージを再作成することですが、そうすることで、貴重なフォレンジック・アーティファクトが失われてしまいます。そうではなく、インシデント対応の担当者が徹底的なフォレンジック調査を行い攻撃者の活動を完全に停止できるように、再デプロイを行ってください。
• ポリシーのデッドスポットを探す — クラウド・セキュリティーは、ホスティング・プロバイダーと契約者の間のジョイント・ベンチャーであり、各コンポーネントの責任者を理解することで、ギャップを防ぐことができます。
• 脅威インテリジェンスの利用 — サイバー攻撃者がクラウド環境に侵入しようとしている方法と、攻撃者が内部に侵入した後の行動を理解することで、組織は悪意のある攻撃をより効率的に検出して防御することができます。

レポートについて

IBM Security X-Force による「クラウドの脅威 セキュリティー・レポート2020」は、IBM のクラウドに関する深い知識と長年の経験を活用して、過去1年間に対応したクラウド・インシデントからインテリジェンスを収集しています。脅威アクターがクラウドをどのように標的にし悪用しているかについてキーとなる洞察と、これらの脅威から組織を保護し、クラウド・セキュリティー・インシデントに対応するための推奨事項を確認するには、本レポートをご覧ください。

「クラウドの脅威 セキュリティー・レポート2020」を読む (488KB)

【関連情報】
IBM X-Force Incident Response and Intelligence Services の概要はこちらから
X-Force 脅威インテリジェンス・インデックス 2020 公開

【お問い合わせ】
メールでのお問い合わせ
https://www.ibm.com/account/reg/jp-ja/signup?formid=MAIL-security

【著者情報】

Charles DeBeck

Charles DeBeck は、IBM Security X-Force（Incident Response and Intelligence Services）のサイバー脅威インテリジェンスの首席戦略アナリストです。コンピューター・セキュリティー、政治学、法律の学位を取得しており、米国国家安全保障局（NSA）、Deloitte & Touche LLP、IBMでの勤務歴があります。IBMでは、破壊的なマルウェア攻撃、攻撃者によるラテラル・ムーブメント技術、そしてハードウェアの脆弱性に関する発表を行っています。また、Dark Webの研究、サービスとしてのマルウェア（malware-as-a-service）、未知のマルウェア脅威など、さまざまなトピックについて講演を行っています。これまで、米国防総省のシステムに影響を与える非常に高度なマルウェア攻撃について、大統領官邸の職員およびその他の軍関係者やNSAの責任者にブリーフィングを行ってきました。現在は、脅威インテリジェンスを使用して、重要な情報を利害関係者に効果的に伝達しながら、戦術、運用および戦略レベルで組織の防御力を強化することに焦点を当てて活動しています。

この記事は次の記事の抄訳です。
How Threat Actors Are Adapting to the Cloud (英語)