- 攻撃者は高権限のIAM認証情報を盗み、EC2とECS上で大規模な暗号資産マイニングを迅速に展開した
- GPU負荷の高いオートスケーリンググループ、悪意あるFargateコンテナ、新規IAMユーザーを作成し、インスタンスを停止から保護した
- AWSは厳格なIAM衛生管理を呼びかけ:あらゆる場面でMFA、短期的な認証情報、最小権限アクセス
専門家によると、サイバー犯罪者がクリプトジャッカーを用いて、Amazon EC2およびAmazon ECSを利用するAmazon Web Services(AWS)顧客を標的にしているという。
クラウド大手は最近のレポートで進行中のキャンペーンについて警告し、現在は対処済みだとしつつも、この種の攻撃は容易に再発し得るため、顧客に注意を促した。
2025年11月上旬、Amazon GuardDutyのエンジニアは、複数のAWSアカウントで同一の手口が見られたことから攻撃を検知した。その後の調査で、犯人はAWS自体に存在する既知または未知の脆弱性を悪用していたわけではないことが判明した。代わりに、高レベルの権限を持つ侵害されたAWS Identity and Access Management(IAM)認証情報に依存してアクセスを得ていた。侵入後、そのアクセス権を利用してクラウド環境に大規模なマイニング基盤を展開していた。
パスワードを強化する
Amazonのレポートによれば、ほとんどの暗号資産マイナーは初回アクセスから数分以内に稼働を開始していた。攻撃者は迅速にサービスクォータと権限を列挙し、その後、数十のECSクラスターと大規模なEC2オートスケーリンググループを起動した。場合によっては、計算資源の消費を最大化するため、これらが素早く拡張するよう設定されていた。
ハッカーはECSとEC2で異なる手法で攻撃を進めた。前者では、Docker Hubにホストされた悪意あるコンテナイメージをデプロイし、AWS Fargate上でマイナーを実行した。
一方後者では、高性能GPUインスタンスおよび汎用コンピュートインスタンスを標的とする複数の起動テンプレートとオートスケーリンググループを作成した。
Amazonはまた、犯人がインスタンス終了保護を使用し、侵害されたエンドポイントが容易に停止されたり、リモートで修復されたりしないようにしていたと付け加えた。
さらに、公開アクセス可能なAWS Lambda関数や追加のIAMユーザーも作成していた。
Amazonは、これらの攻撃への防御は容易だと示唆している。必要なのは強力なパスワードだけだという:
「同様の暗号資産マイニング攻撃から保護するため、AWSのお客様は強固なアイデンティティおよびアクセス管理の統制を優先すべきです」とレポートは述べている。「長期的なアクセスキーの代わりに一時的な認証情報を実装し、すべてのユーザーに対して多要素認証(MFA)を強制し、必要な権限のみにアクセスを限定する最小権限をIAMプリンシパルに適用してください。」
