Amazon Bedrockに連携するAIゲートウェイへの攻撃、新たなクラウドセキュリティリスクを浮き彫りに

今回の侵入は既知のクラウド攻撃の手口を踏襲したものでしたが、専門家はより大きな懸念として、AIゲートウェイがIDや権限、モデルアクセスを集約する中枢として利用されるケースが増えている点を指摘しています。

暗号資産マイニングマルウェアの展開に終わったあるクラウド侵入事件が、企業にとってより大きなリスクを浮き彫りにしました。それは、クラウドID・権限・基盤モデルへのアクセスを単一の高権限システムに集約するAIゲートウェイの危険性です。

サイバーセキュリティ企業Darktraceの研究者らは、Amazon BedrockのLiteLLMプロキシとして稼働していたAWS EC2インスタンスが攻撃者に侵害され、最終的にXMRig暗号資産マイニングマルウェアが展開されるとともに、クラウドIDやAIサービスの悪用が試みられていたことを発見しました。

今回の攻撃は結果的に暗号資産マイニングに終わりましたが、研究者らは、AIゲートウェイがモデルアクセス・ID・クラウド権限を一手に集約している点こそがより大きな懸念であり、攻撃者にとって価値の高い標的になっていると指摘しています。

専門家は今回の攻撃について、過去のクラウド攻撃手法と一致する見慣れたものだと評しています。

「AIというブランディングを取り払えば、これは少なくとも2018年から観測されているクラウド侵入パターンそのものです。インターネットに公開されたSSH、ブルートフォースの試み、汎用のXMRigマイナー、そしてマイニングプールへの繰り返しの接続です」と、BeyondTrustのCISOであるSean Malone氏は述べています。「AI特有の要素、すなわち窃取した認証情報を使ってBedrockのモデルアクセスを探るという手口についても、2024年以降LLMjackingという呼び名がすでに存在しています」

ただしMalone氏も、潜在的な被害範囲についてはDarktraceの研究者らと同意見です。「AIゲートウェイは認証情報・クラウド権限・モデルアクセスを単一のボトルネックに集約しているため、ありふれた侵入であっても、行き着く先は高権限を持つ資産になってしまいます」と同氏は説明しています。

既知のパターンをたどった攻撃

Darktraceによると、侵害されたEC2インスタンスはLiteLLMの稼働をサポートしていたとみられ、Amazon Bedrockのリソースにアクセス可能なIAMロールが関連付けられていました。研究者らは初期侵入経路を確定的に特定できなかったとしつつも、今回の攻撃はクラウド侵入で一般的に見られる手順をたどったと述べています。

マイナーが展開される前、このインスタンスはSSHをインターネットに公開しており、ポート22はどこからでもアクセス可能な状態でした。Darktraceは大量のSSH接続試行を観測しており、その大半は単一の外部IPアドレスから発信されたもので、ブルートフォース攻撃が行われていた可能性が高いとみられます。

その直後、このホストはXMRig暗号資産マイニングマルウェアを含むZIPアーカイブをダウンロードし、その後既知のマイニングプールへHTTPS経由で繰り返し接続していました。

Darktraceは、ホストレベルのログが利用できなかったため、SSHでの活動が直接的に侵害につながったかどうかは確認できなかったと強調しています。しかし、SSHの公開状況、マイナーのダウンロード、その後のマイニングプールとの通信という一連のタイミングから、このEC2インスタンスが侵害され、不正な演算処理のために転用されたことが強く示唆されています。

侵害されたAIゲートウェイは重大な問題

今回の公表では、別の日にもう一つの異なるAWS IDによって個別に観測された不審なIAM活動についても詳しく説明されています。中でも異常な操作として、ベトナムのIPアドレスからの「GetSendQuota」API呼び出し、Amazon Bedrockの基盤モデルを列挙・呼び出そうとする試み、そしてランダムに生成されたユーザー名で新規IAMユーザーを作成しようとする試みが挙げられています。

こうした挙動は、認証情報が侵害された後に永続的なアクセスを確立しようとする際に一般的に見られるものです。ただしDarktraceは、このIAM活動を今回のLiteLLMの事案と直接結び付けることはできなかったとしています。

SectigoのシニアフェローであるJason Soroko氏は、今回の事案の重要性は暗号資産マイナー自体よりも、侵害されたシステムそのものにあると指摘しています。

「こうしたゲートウェイは、ID・モデルアクセス・プロンプト・ログ・ポリシーの仲介役になりつつあります」と同氏は述べています。「一つでもSSH経由で外部に露出していたり、広範なIAM権限に支えられていたりすれば、それはもはや単なるEC2インスタンスの一つではありません。AI運用における制御の要衝そのものです」

こうした攻撃から身を守るために、Soroko氏はさらに、公開された管理経路を塞ぐこと、可能な限り長期有効なキーを廃止すること、IAM権限の範囲を絞り込むこと、Bedrockおよびモデルへのアクセスパターンを監視すること、そしてワークロードのテレメトリとコントロールプレーンのイベントを突き合わせて分析することをセキュリティチームに勧めています。

Darktraceは、今回の攻撃の迅速な封じ込めに貢献したと述べています。「この暗号資産マイニング活動はDarktraceのManaged Threat Detectionサービスによって検知され、DarktraceのSOCによってレビューされました」と、木曜日に公開されるのに先立ちCSOに共有されたブログ投稿の中で研究者らは述べています。「レビュー後、この活動は顧客にエスカレーションされました。このエスカレーションにより、AWS環境内でリソースの不正利用がリアルタイムで進行していることを顧客に速やかに通知することができました」

翻訳元: https://www.csoonline.com/article/4194984/attack-on-amazon-bedrock-linked-ai-gateway-highlights-new-cloud-security-risk.html

ソース: csoonline.com