クラウド環境
クラウドを侵害する「不正マイニング」が企業の重大リスクに
クラウドベースのシステムが企業の業務やインフラでの重要な構成要素となる中、攻撃者はクラウド環境に目をつけ、クラウド環境の脆弱性を突いてさまざまな攻撃を仕掛けています。その種類は、情報窃取、諜報活動、DDoS攻撃など、多岐に及びます。
クラウドベースのシステムが企業の業務やインフラでの重要な構成要素となる中、攻撃者はクラウド環境に目をつけ、クラウド環境の脆弱性を突いてさまざまな攻撃を仕掛けています。その種類は、情報窃取、諜報活動、DDoS攻撃など、多岐に及びます。
最近の傾向としては、クラウドのリソース、特にクラウドインスタンスのCPUを利用して暗号資産をマイニングする攻撃グループが増加しています。なお、CPUマイニングに適したリターンが得られる暗号通貨として現在では「モネロ」が好まれています。この傾向については、トレンドマイクロのリサーチペーパー「浮遊する戦場:クラウドを狙う暗号資産マイニング活動の脅威」で詳しく説明しています。
マイニング攻撃の被害は想定されるものよりも大きい
暗号資産マイニング活動の攻撃は、他のサイバー犯罪のように機密情報の窃取や暗号化をするのではなく、攻撃対象の端末のリソースの消費だけが伴います。一見すると、ランサムウェアなどの他の攻撃手法と比較して深刻な攻撃ではなく、厄介なものに過ぎないと思われがちです。こうした点から、マイニング攻撃の被害による実際のコストは過小評価される傾向があります。
クラウドを狙う暗号資産マイニング攻撃に伴うリソース消費量やコストを推定するため、トレンドマイクロでは独自に構築した端末で確認したところ、利用率が約13%の端末を稼働した場合、1カ月約20米ドルのコストがかかることが判明しました。そしてマイニング攻撃で想定される利用率100%になると、月130米ドルと6倍以上に跳ね上がります。これは端末1台の場合ですが、大規模の企業や組織となると、多数のクラウドインスタンスを導入するため、リソースの消費量や費用が大幅に増加することになります。
しかし、これは暗号資産マイニング攻撃に伴う「目に見えるコスト」に過ぎません。被害を受けた企業や組織へ間接的に及ぶ影響もあります。例えば、業務の中断や減速によって収益が失われたり、顧客に不便を強いることで企業や組織の評判が低下したりするといったリスクが生じる可能性もあります。
クラウドを巡る陣取り合戦が行われている
クラウドを狙う暗号資産マイニングの主要な攻撃グループは、使用するツールや技術、そして対外的な情報発信方法まで、さまざまな手口が駆使されています。これらの攻撃グループの中には、より基本的な手口を好むケースもあれば、脆弱性やその他のセキュリティの隙間を突いて標的の端末へ侵入する手法に磨きをかけているケースもあります。
攻撃グループ「Outlaw」は、ブルートフォース攻撃や既知の脆弱性を悪用してIoT機器やLinuxサーバを侵害するなど、自分たちが得意な領域に固執し、攻撃キャンペーンの手口を大きく変えないことを好みます。一方、攻撃グループ「TeamTNT」は、侵入後の水平移動や内部活動、設定サービスの悪用のため、クレデンシャル情報の窃取に大きく依存し、着実にその巧妙な手口を向上させています。「Kinsing」や「8220」といった活発な攻撃グループの場合は、ルートキットやボットネットなどのツールを使用する一方で、悪用可能な脆弱性を大量に保有しています。
クラウドを狙う暗号資産マイニング攻撃グループが進化する原動力の大部分は「互いの競争」です。クラウドインスタンスのリソースは限られているため、攻撃グループは自分たちのコインマイナーがリソースを十分に活用しているかを確認しておく必要があるのです。こうした理由から、この分野で活躍する攻撃者たちのスキルやインフラが高度であるのは当然ともいえます。
警告となる兆候を察知できるようにするべき
暗号資産のマイニング活動は、それ自体ではマイニングで得られた通貨がリソースの消費によって相殺されるため、利益率が相対的に小さくなります。一方、不正なマイニング活動は、すべてのコストを被害者に負担させることでこれを軽減し、攻撃者がマイニングプロセスから得られる利益をフルに享受できます。しかし真の金銭的利益は、二次的な市場から得られる可能性があります。戦術に長けた攻撃者は、獲得したリソースをアクセスブローカーの役割として活用することで、インフラ、ツール、サービスを他の攻撃者に提供できるからです。そしてこれにより、より大きな損害が被害者側に生じてしまう可能性があります。
いずれにせよ、法人組織は、「暗号通貨をマイニングするマルウェアがシステム内に存在するという事実」を額面通りにのみ受け止めるべきではないでしょう。むしろ、クラウドセキュリティの観点からそれが何を意味するのかを考慮する必要があります。不正な暗号資産マイニング活動が存在しているということは、自社のクラウドインフラが攻撃に対して脆弱であるという(「炭鉱のカナリア」とも言うべき)警告サインであると捉えるべきでしょう。実際の影響が比較的小さいうちに対応できるのはこのタイミングだけであるといえます。このことから、不正な暗号資産マイニング活動が検出されたことを真剣に受け止める必要があります。
幸い、法人組織はクラウドの導入に伴うセキュリティギャップを埋めるために事前対策を講じることができます。これらの対策には、タイムリーなパッチ適用やクラウドAPIのインターネットへの公開を避けるといった一般的なセキュリティやクラウドのベストプラクティスから、何らかの警告を示す兆候がないかシステムを監視するルールを導入するなどの具体的な推奨事項まで、さまざまなものがあります。そしてクラウドセキュリティ向けの製品は、攻撃対象の領域を最小化するためのネットワークトラフィックのフィルタリングを支援します。
クラウドを狙う暗号資産マイニング活動の脅威状況について詳しく知りたい方は、トレンドマイクロのリサーチペーパー「浮遊する戦場:クラウドを狙う暗号資産マイニング活動の脅威」をご一読ください。
参考記事:
• 「Why Organizations Should Take Cloud-Based Cryptocurrency-Mining Attacks Seriously」
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)