研究者たちは、攻撃者がオンプレミスシステムを超えて、AWS独自の暗号化および鍵管理機能を利用し、組織をクラウドデータから締め出すようになっていると警告しています。
サイバーセキュリティ研究者は、ランサムウェアオペレーターが従来のオンプレミスの標的からクラウドストレージサービス、特にAmazon Web Services(AWS)で使用されるS3バケットへと焦点を移していることについて新たな警告を発しています。
最近のTrend Microのレポートでは、攻撃者が単にデータを盗んだり削除したりするのではなく、クラウドネイティブな暗号化および鍵管理サービスと連携して攻撃を行う新たな攻撃の波が概説されています。
「S3バケットを標的とした悪意のある活動は新しいものではありませんが、組織がクラウド環境を強化するにつれて手法は進化し続けています」とSysdigのシニアサイバーセキュリティストラテジスト、クリスタル・モリン氏は述べています。「防御側がより強力な境界防御を採用する中、攻撃者は暗号化管理や鍵のローテーションといった組み込み機能を悪用し、データを復元不可能にし始めています。」
Trend Microによると、攻撃者はAWS管理のKMSキーを使用したバケットから、顧客提供のキー、インポートされた鍵素材、さらには完全に外部のキーストアまで、さまざまなS3の設定を調査しています。
なぜS3が新たなランサムウェアの戦場なのか
オンプレミスのランサムウェアは、従来マルウェアを仕込み、デスクトップやサーバーを暗号化し、支払いを脅迫するものでした。しかし、組織が重要なワークロードやバックアップをクラウドサービスに移行する中、研究者たちは攻撃者がデータを追いかけていると指摘しています。
Trend Microのレポートでは、主要なクラウドの標的として、コンピュートスナップショット、静的ストレージ(S3)バケット、データベース、コンテナ/レジストリ、バックアップボールトなどが挙げられています。中でもS3は、バックアップ、ログ、構成データ、静的アセットなど、組織が最も取り戻したいものが多く保存されているため、特に価値があります。
攻撃者が成功するためには、通常、以下のようなS3バケットを探します:バージョニングが無効(古いバージョンを復元できない)、オブジェクトロックが無効(ファイルを上書き・削除できる)、広範な書き込み権限(誤設定されたIAMポリシーや漏洩した認証情報による)、そして高価値データ(バックアップファイル、本番構成のダンプなど)が保存されているバケットです。
内部に侵入した後、攻撃者は「完全かつ不可逆的な締め出し」を目指し、被害者がアクセスできない鍵でオブジェクトを暗号化したり、バックアップを削除したり、鍵の削除をスケジュールしてAWSと顧客の両方がデータを復元できないようにします。
「この研究は、攻撃者がアカウントの範囲内でAWS環境を暗号化し、身代金を要求する方法についての体系的かつ理論的な脅威モデリング演習です。これは過去10年間にわたって私たちが話してきたことです」とBugcrowdのチーフストラテジー&トラストオフィサー、トレイ・フォード氏は述べています。
クラウド暗号化および鍵管理の武器化
Trend Microは、AWSの組み込み暗号化経路を悪用するS3ランサムウェアの5つのバリアントを特定しています。1つはデフォルトのAWS管理KMSキー(SSE-KMS)を悪用し、攻撃者が作成したキーでデータを暗号化し、そのキーの削除をスケジュールします。もう1つは顧客提供のキー(SSE-C)を使用し、AWSがコピーを持たないため復元が不可能になります。3つ目は、S3バケットのデータ(バージョニングなし)を流出させ、元データを削除します。
最後の2つのバリアントは、鍵管理インフラにさらに深く関与します。1つはインポートされた鍵素材(BYOK)に依存し、攻撃者がデータを暗号化した後、インポートした鍵を破壊または期限切れにします。もう1つはAWSの外部キーストア(XKS)を悪用し、鍵操作がAWS外部で行われるため、攻撃者が外部の鍵ソースを制御している場合、顧客もAWSもアクセスを復元できません。これらの手法は、攻撃者がAWS自体を暗号化の仕組みとして利用していることを明らかにしています。
「これが実際に野生で行われているのを見た記憶はありません」とフォード氏は付け加えました。「これは特に、外部または顧客提供のキー(それぞれSSE-CまたはXKS)の使用を標的にし、ストレージで使用される暗号の鍵管理を制御しようとするものです。」
研究者たちは、顧客に対し、最小権限アクセスの徹底、バージョニングやオブジェクトロックなどの保護機能の有効化、復元を妨げる恐れのある顧客提供または外部キーソースの利用の厳格な管理によってS3環境を強化するよう促しています。バックアップを別アカウントに隔離し、クラウド監査ログを継続的に監視して、不審な鍵の活動、大規模な暗号化や大量オブジェクト削除の兆候を検知することも推奨されています。
「クラウドでは“侵害を前提とする”マインドセットが不可欠です。ランタイム環境は不変であるべきで、IDには厳密に範囲を絞った権限と短命な認証情報を付与し、ネットワークは意味のあるセグメンテーションを持ち、重要なデータセットにはバックアップが必要です」とモリン氏は付け加えました。「現代のオペレーションは複雑なサプライチェーンに依存しており、主要なパートナーがランサムウェア被害を受ければ、直接的な侵害と同じくらいビジネスが混乱する可能性があります。」
