TokyoBlackHatNews

csoonline.com 5分で読了

AWS S3バケットがランサムウェア集団の標的に

サイバー犯罪者はAWSを標的にし、企業がクラウドデータへアクセスできないようにしようとしています。

クラウドストレージへの攻撃
ランサムウェア集団は、従来のオンプレミスの標的からクラウドストレージサービス、特にAmazon S3へと焦点を移しています。

ImageFlow – shutterstock.com

最新のTrend Microのレポートでは、攻撃者が単にデータを盗んだり削除したりするだけでなく、クラウドネイティブな暗号化・鍵管理サービスを組み合わせた新たな攻撃の波が説明されています。

「S3バケットを標的とした悪意ある活動は目新しいものではありませんが、企業がクラウド環境のセキュリティを強化しているにもかかわらず続いています」とSysdigのシニアサイバーセキュリティストラテジスト、Crystal Morin氏はコメントしています。「防御側がより強固な境界防御策を導入する中で、攻撃者は暗号化管理や鍵ローテーションなどの統合機能を悪用し、データを破壊し始めています。」

Trend Microによると、攻撃者はAWS管理のKMSキーを使用したバケットから、顧客が提供したキー、インポートした鍵素材、さらには完全に外部の鍵ストアまで、さまざまなS3構成を調査しています。

S3がランサムウェアの魅力的な標的である理由

オンプレミスのランサムウェア攻撃では、従来マルウェアを侵入させ、デスクトップやサーバーを暗号化し、金銭を要求していました。しかし企業が重要なワークロードやバックアップをクラウドサービスに移行したことで、研究者によれば攻撃者は今やデータそのものを追いかけています。

Trend Microのレポートでは、コンピュートスナップショット、静的ストレージ(S3バケット)、データベース、コンテナ/レジストリ、バックアップボールトなど、複数の重要なクラウドの標的が挙げられています。その中でもS3は特に価値が高く、バックアップやログ、設定データ、静的アセットなど、企業が最も早く取り戻したいものが多く含まれています。

成功するために、サイバー犯罪者は通常、以下のようなS3バケットを探します:

  • バージョニングが無効(古いバージョンを復元できない)、
  • オブジェクトロックが無効(ファイルの上書きや削除が可能)、
  • 広範な書き込み権限(誤ったIAMポリシー設定や漏洩した認証情報による)、および
  • 高価値データ(バックアップファイル、本番設定のダンプなど)。

アクセスを得ると、攻撃者は「完全かつ不可逆的なロック」をデータに対して強制しようとします。被害者がアクセスできないキーでオブジェクトを暗号化したり、バックアップを削除したり、鍵の削除を計画してAWSや顧客がデータを復元できないようにすることが含まれます。

クラウド暗号化と鍵管理を武器化

Trend Microは、AWSに組み込まれた暗号化経路を悪用するS3ランサムウェアの5つのバリエーションを特定しました。あるバリエーションは、AWSが管理する標準のKMSキー(SSE-KMS)を悪用し、攻撃者が作成したキーでデータを暗号化し、そのキーの削除を予約します。別のバリエーションは、AWSがコピーを持たない顧客提供のキー(SSE-C)を使い、復元を不可能にします。3つ目は、S3バケットデータ(バージョニングなし)を流出させ、元データを削除します。

最後の2つのバリエーションは、鍵管理インフラにさらに深く侵入します[MB2] 1つはインポートした鍵素材(BYOK:Bring your own key)に依存し、攻撃者がデータを暗号化した後、インポートした鍵を破壊または無効化できます。もう1つはAWSのExternal Key Store(XKS)を悪用し、鍵操作がAWS外で行われます。つまり、攻撃者が外部鍵ソースを制御すると、顧客もAWSもアクセスを復元できません。これらの手法は、攻撃者がAWS自体を暗号化メカニズムとして利用していることを示しています。

「実際にこれが使われたのを見た記憶はありません」とBugcrowdのチーフストラテジー&トラストオフィサー、Trey Ford氏は強調します。「この調査は体系的かつ理論的な脅威モデリングであり、攻撃者がAWS環境をアカウントの範囲内で暗号化し、身代金を要求する方法を示しています。」

Ford氏はさらに、「これは特に外部または顧客提供の鍵(SSE-CやXKS)を使い、ストレージで利用される暗号の鍵管理を掌握することを狙っています」と付け加えています。

対策

Trend Microの研究者は、顧客に対し、最小権限アクセスを徹底し、バージョニングやオブジェクトロックなどの保護機能を有効化してS3環境を保護するよう強く求めています。また、復元に影響を与える可能性のある提供または外部の鍵ソースは厳格に管理すべきです。さらに、バックアップを別アカウントに分離し、クラウド監査ログを継続的に監視して、疑わしい鍵の活動、大量暗号化、大規模なオブジェクト削除の兆候を検知することが推奨されています。

「クラウドでは『侵害前提』の考え方が不可欠です。ランタイム環境は不変であるべきで、IDには厳しく制限された権限と短命な認証情報が必要です」とSysdigのMorin氏は説明します。専門家によれば、ネットワークには意味のあるセグメンテーションが必要で、重要なデータセットは保護されなければなりません。「現代の運用は複雑なサプライチェーンに依存しており、重要なパートナーがランサムウェアの被害を受ければ、直接の侵害と同じくらい企業を完全に麻痺させる可能性があります。」(jm)

翻訳元: https://www.csoonline.com/article/4095199/aws-s3-buckets-im-visier-von-ransomware-banden.html

ソース: csoonline.com
#2025年サイバー攻撃 #AES-256暗号化 #Akiraランサムウェア #APIキー管理 #Apple Lawsuit #CSPM(クラウドセキュリティポスチャ管理) #IAMポリシー #S3バケット #Trend Micro #データバックアップ

関連記事

Cursorの重大なバグが通常のGitをRCEに変える可能性

エンタープライズSaaSにおけるRAGパイプラインのセキュリティ確保

AiTM攻撃を阻止する:認証成功後に実際に機能する防御