調査機関ガートナーの予測によると、2025年までに企業のIT支出の半分以上がクラウドベースのソリューションに向けられるとされています。この傾向は、コロナ禍前後の企業支出に顕著に表れており、企業のクラウド移行の加速を示しています。図1は、クラウドプロバイダーの市場規模の拡大を示しており、特に最大シェアを持つAmazon Web Services（AWS）の成長が目立ちます。

さらに、リサーチャーたちは今後10年間でクラウド市場が4倍に成長すると予測しています（図2）。こうしたクラウド採用の急速な拡大に伴い、サイバー攻撃者もクラウド関連の標的に注目を移しつつあります。

出典：Synergy Research Group

出典：Precedence Research

AWSを狙う攻撃の動向

図3のとおり、近年クラウドインフラを標的としたサイバー攻撃が急増しており、AWSは主要な攻撃対象となっています。このタイムラインは、大手AWS利用企業が設定ミスにより多くの攻撃を受けた事例も浮き彫りにしています。また、一般的な攻撃手法を理解するには、MITREクラウドマトリックスに照らし合わせて、攻撃者がどのようにして様々なAWSサービスに侵入するかを分析することが重要です。この点についても本稿で解説していきます。

出典：Precedence Research

CloudTrailログの詳細解説

AWS CloudTrailは、AWSアカウントの透明性、コンプライアンス、セキュリティ、運用効率を向上させるために、AWS全体のアカウントアクティビティを記録、監視、保存するサービスです。CloudTrailが提供する「証跡（Trail）」には以下の種類があります：

管理イベント：AWSアカウント内のリソースに対する管理操作を記録します
- 例：EC2インスタンスの作成、S3バケットの削除
データイベント：リソース上または内部で行われた詳細な操作情報を提供します
- 例：S3オブジェクトレベルのAPI活動（GetObject、DeleteObject）、Lambda関数の実行活動
インサイトイベント：AWSアカウント内の異常な運用活動を特定するのに役立ちます
- 例：リソースプロビジョニングの急増検出、IAM権限の異常な変更

以下はCloudTrailログの例です。

CloudTrailログに含まれる各フィールドの詳細は以下の通りです。

AWS CloudTrailとTrend Micro Vision Oneの連携

膨大なCloudTrailログを効果的に可視化することは大きな課題となっています。この課題に対応するため、トレンドマイクロのVision Oneでは、AWSアカウントからCloudTrailログを取り込む機能を実装しました（図4）。これにより、Vision OneはユーザのAWS CloudTrailログを分析し、脅威や攻撃を検出し、問題を通知し、対応策を提案し、ログを視覚的に表現することが可能になりました。

図5のとおり、Vision Oneはログをより分かりやすく視覚化します。これにより、ログに様々な検出情報とMITREタグを追加し、顧客がAWSアカウント内の不審な活動を効率的に追跡できるようサポートします。顧客は、図6のようにVision One検索アプリを使用して、必要な特定のログを簡単に見つけることができます。このソリューションの導入は、AWSアカウントとCloudTrail設定に関するガイドを参照することで、スムーズに行えます。

CloudTrail用Vision One検出：Workbench

トレンドマイクロでは、CloudTrailに関する多様な検出機能も提供しており、顧客はこれらを直接活用してAWSアカウント内の不審な活動や進行中の攻撃を監視できます。ここでは、異なるMITREクラウド戦術に基づく実際のAWS攻撃シナリオの例と、それに対応するWorkbenchの表示について詳しく説明します。

初期侵入

クラウド環境におけるMITRE ATT&CKフレームワークでは、初期侵入を攻撃者が標的のAWS環境に最初の足がかりを得る重要な戦術と位置づけています。AWSでは、攻撃者が初期侵入を達成する主な方法が3つあります（図7）：

1. 露出した鍵へのアクセス

攻撃者は多くの場合、露出したAWSの鍵を見つけて悪用しようとします。
これらの露出は、認証情報が誤って公開コードリポジトリ、ウェブサイト、その他の安全でない場所に置かれた場合に発生します。
これらの鍵が発見されると、攻撃者はAWSリソースに不正アクセスできるようになります。

2. 権限を持つAWSコンピュートでホストされている公開アプリの悪用

攻撃者は、AWSのコンピュートリソース上でホストされている公開アプリの脆弱性を狙います。
これらのアプリには他のAWSリソースにアクセスする権限がある可能性があり、攻撃者にアクセス拡大の機会を与えます。
これらの脆弱性を悪用することで、攻撃者は不正アクセスを得て、クラウド環境内で横方向に移動できます。

3. AWSサービスの脆弱性

頻度は低いものの、AWSサービス自体の脆弱性は重大な脅威となります。
クラウドプロバイダーのインフラに内在する弱点を悪用することで、攻撃者は通常のセキュリティ対策をすり抜けることができます。
この方法により、攻撃者はクラウドリソースに直接アクセスできるようになります。

例えば、公開ウェブサイトをホストする過剰な権限を持つAWS Lambda関数関連のリモートコード実行の脆弱性を悪用して、攻撃者がAWSアカウントに初期の足がかりを得るシナリオを考えてみましょう。攻撃者は持続性を維持するために、Lambda関数のタイムアウト設定を変更し、IAMサービスの列挙や新規ユーザの作成など、さらなる活動を試みます。

この場合、図8のようにVision One Workbenchは、この初期のLambda侵害を検出します。

図8：Vision One Workbenchが侵害されたLambda関数を検出

不正活動の実行

不正活動の実行とは、クラウド環境内で攻撃者が制御するコードやコマンドを実行することを指します（図9）。これには、EC2インスタンス上でのスクリプト実行、Lambda関数の呼び出し、AWSのAPIを使用した不正なコード実行などが含まれ、データ侵害やシステム侵害につながる可能性があります。

AWS EC2インスタンスのSendCommand APIを使用すると、ユーザはAWS Systems Managerを介してリモートでコマンドを実行できます。しかし、悪意を持ってアクセスされると、深刻なセキュリティ侵害につながる恐れがあります。ここでの実行に関する潜在的な攻撃シナリオでは、攻撃者がAWS環境への初期侵入を獲得し、Systems Managerエージェントを持つEC2インスタンスを特定し、誤って設定されたIAMポリシーや盗まれた認証情報を悪用して、SendCommand APIを通じて不正なコマンドを実行します。これにより、マルウェアのインストール、情報漏えい、その他の有害な活動が引き起こされる可能性があり、このAPIへのアクセスを厳重に管理し、その使用を注意深く監視することが重要です。

図10は、Vision Oneでの検出画面の例です。

事前調査

事前調査では、攻撃者が侵害された鍵を直接使用するか、権限を持つコンピューターに足がかりを得た後にそれらを列挙することで、標的のクラウド環境に関する情報を収集します（図11）。この情報は、攻撃者がさらなる攻撃を計画する際に活用されます。攻撃者は以下のような様々な手段でこの情報を収集します。

API活動のCloudTrailログ分析や、過剰な権限を持つIAMポリシーの調査
EC2インスタンスやS3バケットなど、公開されているリソースのスキャン
インスタンスの詳細情報を得るためのメタデータエンドポイントへのクエリ
インフラ情報を得るためのDNSレコードの列挙
コストエクスプローラーとAWS組織の調査によるターゲットの規模と構造の把握

例えば、攻撃者がAWS環境への初期アクセスを獲得し、IAMポリシーの分析、ロール信頼関係の調査、追加の認証情報の検索など、様々な方法でIAM権限の列挙を行う攻撃シナリオを考えてみましょう。この情報を用いて、攻撃者は過度に許可されたロールを標的とし、環境内での横方向の移動やAWSリソースからのデータ流出を試みます。Vision Oneは図12に示すように、このような列挙技術を検出します。

情報送出

情報送出とは、攻撃者がクラウド環境からデータを抽出し、自身の制御下にある外部の場所に転送することを指します。攻撃者は通常、S3バケット、データベース（RDSやDynamoDBなど）、EC2インスタンス、マネージドサービスなどのリソースを列挙して、価値のあるデータを特定します（図13）。特定後、攻撃者は脆弱性や弱いアクセス制御を悪用して、この機密情報にアクセスしてダウンロードします。その後、盗んだ情報を外部のサーバーやリポジトリ、または外部のAWSアカウントに転送します。この戦術は企業や組織に重大なリスクをもたらし、機密情報、知的財産、顧客データの損失につながる可能性があり、財務的および評判の深刻な被害を引き起こす恐れがあります。

例えば、攻撃者が企業や組織の環境内のAWSデータベース（Amazon RDSなど）にアクセスを得るシナリオを考えてみましょう。攻撃者は機密データを含むデータベースのスナップショットを作成し、それを公開するか、自身の管理下にある外部のAWSアカウントと共有します。これにより、データを外部に流出させることが可能になり、企業や組織に重大なリスクをもたらします。Vision Oneは図14に示すように、このような種類の攻撃を検出するのに役立ちます。

図14：Vision OneがいつAWSデータベースのスナップショットが共有されたかを検出

特権昇格

特権昇格とは、攻撃者が様々な高度な方法を通じて高レベルの権限を獲得することを指します（図15）。一般的な手法には、過度に許可されたIAMロールや誤って設定された信頼関係の悪用、Lambda関数やEC2インスタンスメタデータなどのAWSサービスの悪用、IAMポリシーの不正操作などがあります。攻撃者はまた、アクセスキーを侵害したり、ユーザセッションをハイジャックしたり、sts:AssumeRole APIを使用して徐々に高い権限を獲得したりする可能性もあります。リソースベースのポリシーの悪用も重要な手法の一つで、設定ミスが不正アクセスに悪用される可能性があります。これらの手法は、AWS環境を潜在的な権限昇格攻撃から守るための厳格なアクセス管理と継続的な監視の重要性を浮き彫りにしています。

AWSでの特権昇格を例示するために、限られた権限を持つユーザの侵害された認証情報を通じてアクセスを得た攻撃者を考えてみましょう。攻撃者は、このユーザがIAMポリシーを変更できることを特定し、その後、管理者ポリシーを作成して自分のアカウントにアタッチし、完全な管理者権限を獲得します。これにより、機密データへのアクセスやリソースの作成・削除など、AWS アカウント内で任意の操作を実行できるようになります。このような活動の監視とアラート設定は非常に重要です。Vision Oneは、これらの種類の活動に対するアラートを提供し、AWSアカウントのセキュリティ可視性を向上させます（図16）。

図16：Vision Oneによる権限昇格の可能性を示す不審な活動に対するアラート

水平移動・内部活動

AWSにおける水平移動・内部活動とは、攻撃者が初期アクセスを得た後、クラウド環境内でさらなるリソースを標的にして移動する方法を指します。これは異なるサービス、アカウント、およびコンピュートリソース間で発生する可能性があります（図17）。AWS環境における横方向移動の種類には以下があります。

クロスサービス移動：攻撃者は侵害された認証情報を使用して様々なAWSサービスにアクセスし、多くの場合IAMロールとAPIコールを利用します。
クロスアカウント移動：攻撃者は信頼関係や共有リソースを悪用してAWSアカウント間を移動し、AssumeRole APIなどの方法を使用します。
クロスコンピュート移動：攻撃者はEC2インスタンスメタデータ、Lambdaの脆弱性、またはコンテナの脆弱性を悪用してコンピュートリソース間を移動します。

例えば、攻撃者が権限を昇格させてAWS Systems Manager（SSM）への完全なアクセスを獲得する攻撃シナリオを考えてみましょう。攻撃者はこのアクセスを利用してEC2インスタンスに横方向に移動し、そこで暗号資産マイニングやランサムウェア活動などのさらなる悪意のある活動を行う可能性があります。Vision Oneはこれらの種類の不審な活動を監視することができます（図18）。

図18：Vision OneによるSSMアクセスの監視で攻撃者の潜在的な水平移動・内部活動を検出

検出回避

AWSにおける検出回避の戦術とは、セキュリティ対策を迂回し、検出を回避するための様々な方法を使用することを指します。攻撃者は直接クラウドログ（CloudTrailログ、Cloudwatchログ、S3アクセスログ、GuardDutyログを含む）を無効化または削除するか、必要な権限を持つAWSコンピュートを侵害してこの戦術を実行します（図19）。

例えば、攻撃者が漏洩したAWSキーやユーザ、あるいはCloudTrailへの完全なアクセス権を持つコンピュートアセットを侵害することで、CloudTrailなどのログ記録サービスを無効化するシナリオを考えてみましょう。検出メカニズムを回避することで、攻撃者はAWS環境内での存在を検出されずに維持することを目指します。このような活動を監視することが重要であり、セキュリティ実務者はVision Oneを通じてこれを行うことができます（図20）。

図20：Vision OneによるCloudTrailなどのログ記録サービスの無効化検出

永続化

AWSのコンテキストでのMITRE ATT&CKフレームワークにおける永続化の戦術とは、攻撃者が侵害されたシステムへの長期的なアクセスと制御を確立することを指します。攻撃者は、IAMポリシーを変更したりAWS Lambda関数に不正なコードを注入したりするバックドア型マルウェアを展開し、多くの場合、不正なS3バケットアクセスや隠密のデータ転送を通じてデータ流出チャネルを設定することで、この戦術を達成します。さらに、攻撃者はCloudWatch EventsやEC2インスタンスなどのAWSサービス内でスケジュールされたタスクやcronジョブを使用して永続性を維持することもあります。これらの手法により、攻撃者はAWS環境内に足がかりを維持し、継続的な不正アクセスと情報送出を可能にします（図21）。

AWSでは、攻撃者は初期侵入後にアクセスキーを作成することで永続性を確立します。これらのキーはAWSリソースへのプログラム的なアクセスを許可し、初期の侵入点が閉じられても継続的な不正活動を可能にします。アクセスキーは永続的なメカニズムとして機能し、攻撃者が侵害された環境内で制御を維持し、検出を回避することを可能にします。複数のキーをローテーションするように使用し活動を隠ぺいすることで、攻撃者は自身の存在を長期化させ、AWSセキュリティに継続的な脅威をもたらします。そのため、アクセスキーの作成を監視することが非常に重要です。Vision Oneは図22に示すように、これらの活動に対するアラートの作成を支援します。

結論

様々なAWS攻撃シナリオとMITRE戦術との関連性を理解することで、防御する側はクラウドベースの脅威に対する洞察を深めることができます。Vision Oneはこれらの脅威を効果的に検出し、AWS環境を更なる攻撃から守るための迅速な対応に必要な重要な情報を提供します。これらの環境を安全に保つには、セキュリティ担当者が潜在的な脅威に対して常に先手を打ち、警戒を怠らないことが求められます。Vision Oneのようなプラットフォームの活用に加え、以下のようなベストプラクティスを実践することで、防御する側はクラウド資産をより効果的に保護できるでしょう。

多要素認証（MFA）の導入
- 全ユーザ、特に管理者権限を持つユーザにMFAを義務付け、セキュリティを強化する。
最小権限の原則の適用
- ユーザとアプリケーションには必要最小限の権限のみを付与する。
- 定期的に権限を見直し、現在の必要性に応じて更新する。
IAMロールの活用と認証情報の定期的な更新
- 長期的なアクセスキーの代わりに、サービスにはIAMロールを使用する。
- セキュリティ維持のため、IAMアクセスキー、パスワード、その他の認証情報を定期的に更新する。
ログ記録と監視の徹底
- AWS CloudTrailを有効にし、アカウントのすべての活動を詳細に記録する。
- Amazon GuardDutyとAWS Configを利用し、継続的な脅威検出とリソース監視を行う。
データの包括的な暗号化
- AWS Key Management Service（KMS）を使用し、AWSサービス上の保存データを暗号化する。
- SSL/TLS暗号化により、データ転送時の安全性を確保する。
強固なネットワークセキュリティの構築
- VPCを用いて環境を分離し、セキュリティグループとネットワークACLでアクセスを制御する。
- AWS WAFでアプリケーションレベルの保護を、VPC Flow Logsでネットワークトラフィックの監視を実施する。

参考記事：

Uncover Cloud Attacks with Trend Vision One and CloudTrail
By Yash Verma

翻訳：与那城務（Core Technology Marketing, Trend Micro™ Research）

タグ

Trend Vision OneとCloudTrailで解明するクラウド攻撃

目次