コマンド&コントロール(C2)インフラは、大きなアーキテクチャの転換期を迎えています。かつてマルウェアは、攻撃者が運用するサーバー(レンタルしたVPSや侵害されたウェブサイト上に設置)へビーコン通信を送り、防御側はIPレピュテーションやドメインブロッキングで対応できました。しかしクラウドコンピューティングの普及により、この境界線は完全に曖昧になっています。
攻撃者は現在、盗んだIAM(Identity and Access Management)認証情報を使い、正規のクラウドプラットフォーム内にC2インフラを展開しています。
2025年7月にPalo Alto Networks Unit 42が記録したHazyBeaconキャンペーンは、「借用インフラ攻撃」というモデルを如実に示しています。
専用のコマンドサーバーを自ら用意する代わりに、攻撃者は侵害したAWS環境内に軽量なリレーを展開します。
被害者のクラウド環境が実質的に攻撃者のオペレーションスタックの一部となるため、攻撃の帰属特定は極めて困難になります。
このキャンペーンの有効性は、2022年4月に導入されたAWS Lambda Function URLという機能に大きく依存しています。
この機能を使えば、複雑なAPI GatewayやロードバランサーをAWSで構成することなく、専用のHTTPSエンドポイントを通じてサーバーレス関数を公開できます。
脅威アクターは特に、インターネット上のどこからでも認証なしにパブリックアクセスを許可する設定を悪用しています。
このサーバーレスの攻撃対象領域は、Valid Cloud Accounts(T1078.004)、Serverless Execution(T1648)、C2のためのWeb Service利用(T1102)など、複数のMITRE ATT&CKテクニックに直接対応しています。一連の展開は、予測可能なサイバーキルチェーンに沿って進みます。
偵察フェーズでは、攻撃者が公開GitHubリポジトリや開発者を標的にしたフィッシングキャンペーン、またはローカルの認証情報ファイルから静的なIAMアクセスキーを収集します。
パブリックアクセスを有効にしたFunction URLを作成することで、侵害したAWSアカウントを攻撃者のC2ネットワークに直接組み込みます。
Lambdaファンクションは最終的に1時間あたり数千件のコマンドリクエストを処理し、知らぬ間に世界規模のスパイ活動のリレーとして機能します。
クラウドインフラがコマンドインフラとして悪用されるのを防ぐには、アイデンティティ、コントロールプレーン、ワークロードの挙動にわたる継続的な可視性と制御が不可欠です。
クラウドネイティブ環境において、アイデンティティは事実上の新しいセキュリティ境界を定義しています。HazyBeaconのようなキャンペーンは、悪意ある関数を展開するために侵害したIAM認証情報に完全に依存しています。
アイデンティティ制御が機能しない場合、防御の仕組みはコントロールプレーンへと移行する必要があります。AWS CloudTrailなどのサービスは、Lambdaファンクションの作成やFunction URLの作成に使われたAPI呼び出しを記録します。
異常なAPIアクティビティを監視することで、攻撃者がオペレーショナルなC2リレーを確立するはるか前の権限テストフェーズにおいて、侵害された認証情報を検出できます。
AWS Service Control Policies(SCPs)を用いてゼロトラストポリシーを適用し、外部利用向けのタグが明示されていない限り、パブリックなFunction URLの作成を厳しく禁止してください。
詳細なAWSバジェットアラートを設定してサービスレベルのコスト異常を監視し、特に非本番リージョンにおけるLambdaコンピューティング使用量の予期せぬ急増を検出してください。
LambdaワークロードをVirtual Private Cloud(VPC)経由でルーティングしてフローテレメトリを収集することで、C2プロキシに典型的な1対1のインバウンド・アウトバウンドリクエストパターンを把握できます。
Qualys TotalCloudのようなクラウドセキュリティポスチャ管理(CSPM)ツールを活用し、露出したIAM認証情報、リスクのある設定ドリフト、異常なサーバーレスアクティビティを継続的に監視してください。
翻訳元: https://cyberpress.org/aws-abuse-powers-hazybeacon/
