AWS CloudTrailやGoogle Cloud Loggingといったクラウドロギングサービスは、企業のセキュリティ監視基盤として欠かせない存在となっています。しかしその重要性ゆえに、攻撃者にとっても格好の標的となっています。
Palo Alto NetworksのUnit 42チームによる調査では、高度な脅威アクターがこれらのサービスを積極的に悪用し、セキュリティチームの監視を無効化したり、機密ログデータを不正な宛先にリダイレクトしたり、被害環境の内部に長期にわたる隠密な監視拠点を構築したりしている実態が明らかになりました。
クラウドロギング基盤への攻撃は、大きく2つの戦略的カテゴリに分類されます。一つは「防御回避」で、攻撃者がログの流れを妨害して検知を逃れる手口です。もう一つは「継続的な可視性の確保」で、攻撃者が管理するシステムにログを密かにリダイレクトし、継続的な情報収集を行う手口です。
Unit 42は、AWS CloudTrailおよびGoogle Cloud Loggingを標的とした、両カテゴリにわたる具体的な手法を特定しました。
最も直接的な手口が「ログ停止(Stop Logging)」です。AWSでcloudtrail:StopLogging権限、またはGoogle Cloudでlogging.sinks.update権限を持つ攻撃者であれば、ログの配信を即座に停止できます。これにより、継続的なログ取り込みを前提とするSOAR、SIEM、CSPMツールに即時のブラインドスポットが生じます。
「ログ保存先の削除(Deleting Log Storage Destinations)」はより破壊的な手法です。s3:DeleteBucket権限を持つ攻撃者は、CloudTrailのログを受け取るS3バケットそのものを削除でき、フォレンジック証拠の消去と将来のログ記録の無効化を同時に実現できます。
Google Cloudにはここで部分的な保護機能があり、削除されたログバケットは完全削除前の7日間、DELETE_REQUESTED状態に置かれるため、防御側が対応できる猶予が生まれます。
「ログルーターの削除(Deleting Log Routers)」では、AWSトレイルやGoogle Cloudシンクを削除することで、ストレージに触れることなく同様の効果を得られます。セキュリティパイプラインへの影響がより目立ちにくい手口です。
「暗号化キーの操作(Encryption Key Manipulation)」は、より高度な手法の一つです。攻撃者は外部KMSキーを作成し、CloudTrailトレイルがそのキーを使用するよう更新したうえでアクセスを失効させます。これにより、明確な削除の痕跡を残すことなく、ログの書き込みも読み取りも不可能な状態に陥れます。
同様の攻撃は、Google Cloudのカスタマーマネージド暗号化キー(CMEK)を使用しても実行可能です。
「ログ改ざん(Log Poisoning)」は、S3またはCloud Storageにすでに書き込まれたログを標的とします。オブジェクトへの読み書き権限を持つ攻撃者は、ログファイルをJSON形式でダウンロードして改ざんしたうえで再アップロードでき、インシデント調査でSOCアナリストが頼りにする監査証跡を汚染することができます。
ログを破壊するのではなく、リダイレクトする手法も存在します。不正なCloudTrailトレイルや新たなGoogle Cloudシンクといったログルーティングリソースを新規作成することで、すべてのログのコピーを攻撃者の管理するバケットに送信し、既存のインフラに一切触れることなく、IAMの変更、VMのデプロイ、機密データへのアクセスをリアルタイムで把握できます。
「ログリダイレクト(Log Redirection)」は、既存のトレイルやシンクの宛先を変更し、ログストリーム全体を攻撃者のインフラに密かに転送する手法です。
この手法はUnit 42のリスク評価において悪意ある活動の可能性が最も高いと評価されており、被害組織のセキュリティツールには何も検知されないまま、継続的なパッシブ偵察が可能となります。
組織はロギングリソースの変更権限を、高い権限を持つユーザーのみに制限する必要があります。AWSアカウントでは、管理イベントに対して90日間変更不可能なCloudTrailイベント履歴がフォールバックとして機能します。
Palo Alto Networksの調査によると、Google Cloudの_Requiredログバケットは、無効化も削除もできない管理アクティビティおよびシステムイベントログに対して同様の保護を提供します。
その他のセキュリティ強化策としては、CloudTrailのログファイル整合性検証の有効化、Google Cloudのログバケットのロック(削除防止)、そしてCreateTrailおよびUpdateTrail API呼び出しに対するEventBridgeアラートの設定が挙げられます。
Unit 42が指摘するように、ロギング基盤そのものの完全性は今や重要なセキュリティコントロールとなっています。これを保護できない組織は、クラウド環境への不可視の窓口を攻撃者に与えてしまうリスクがあります。
CISOおよびセキュリティリーダーの皆様へ:次の侵害は顔のない攻撃かもしれません。ISC2のライブウェビナー「Ghost in the Machine」にご参加ください。
翻訳元: https://cyberpress.org/threat-actors-leverage-cloud-logs/