ランサムウェアがクラウドネイティブ化し、バックアップインフラを標的に

ランサムウェアグループやその他のサイバー犯罪者は、クラウドベースのバックアップシステムをますます標的にしており、従来の災害復旧手法に挑戦を突きつけています。

クラウドベースのバックアップへの攻撃は、データ流出、ID侵害、サプライチェーン攻撃の手法を巧みに磨く高度な攻撃者によって、ますます一般的になっていると、Googleのセキュリティ研究者はクラウドセキュリティ脅威の進化に関するレポートで警告しています。

2025年上半期を対象とした最新のGoogle Cloud Threat Horizons Reportでは、クラウド環境への脅威アクターの主な侵入口として、認証情報の侵害と設定ミスが依然として挙げられていることも明らかになりました。

「クラウドネイティブ恐喝」

このレポートには、Google Cloudのインテリジェンス、セキュリティ、プロダクトチームが協力しており、Google Cloudだけでなく、複数あるいはすべてのクラウドサービスプロバイダーとその顧客が直面している脅威も対象としています。

CSOが取材した独立系セキュリティ専門家も、ランサムウェアグループがクラウド上のバックアップインフラをますます標的にしているというGoogleの見解を裏付けています。

「攻撃はもはやエンドポイントに限定されず、データを追いかけます。それにはスナップショット、S3バケット、クラウドオブジェクトストレージも含まれます」と、クラウドベースのSAPシステム提供を専門とするLemongrassのSVP兼グローバルCISOであるDave Manning氏は述べています。「SSE-C暗号化のようなクラウドネイティブ機能さえも、データを再暗号化して身代金を要求するために乗っ取られることがあり、Codefingerキャンペーンでその例が見られました。」

Manning氏はさらに「現代のランサムウェアは単なる暗号化ではなく、クラウドネイティブな恐喝です」と付け加えています。

Googleの研究者もレポートの中で、攻撃者が初期の攻撃段階でクラウドホスト型バックアップを無効化または削除し、交渉時の優位性を最大化していると指摘しています。

「同じパターンは、最近のHellCat、Akira、ALPHV/BlackCatの侵害でも観察されており、不変コピーが特定され、恐喝通知が届く前に消去されています」と、デジタルトランスフォーメーションプロバイダーConsciaのセキュリティ部門ITGLの主任脅威インテリジェンスアナリストであるDavid Kasabji氏は述べています。「実際、組織のバックアップが本番環境と同じコントロールプレーン上にある場合、攻撃者はそれを標的にして当然と考えます。」

Kasabji氏はさらに「隔離され、バージョン管理され、アクセス制御されたリカバリ階層は、もはや譲れない要件になっています」と述べています。

ランサムウェア集団は被害者自身のクラウドベースのツールを悪用しています。例えば、BlackCat（ALPHV）やRhysidaのような悪名高いグループは、Azure Blob Storage、Amazon S3 Transfer Acceleration、Azure Storage Explorerなどのバックアップサービスへのアクセスを積極的に利用し、機密ファイルの流出や暗号化を行っています。

「脅威は暗号化だけにとどまりません。攻撃者はライフサイクルポリシーを変更し、Codefingerの攻撃で見られたように数日以内にファイルを自動削除することで、人工的な緊急性を生み出しています」と、SentinelOneのクラウドセキュリティディレクターであるCameron Sipes氏は述べています。「これらの戦術は従来のエンドポイントセキュリティを回避し、クラウドリソースの柔軟性を利用して迅速かつ復元困難な影響を与えます。」

Sipes氏はさらに「LockBitのなりすましとされる別のキャンペーンでは、Amazon S3 Transfer Accelerationを通じてランサムウェアが配信され、再びクラウドネイティブなインフラを悪用して暗号化前にデータを吸い上げていました」と述べています。

認証情報の侵害と設定ミスの問題

より高度な脅威グループは、標的を巧みにだまして多要素認証（MFA）を回避させ、侵害したクラウドホスト型環境を荒らす社会工学的手法を開発しています。

例えば、攻撃者は侵害したOAuthトークンを利用してMFAを回避し、自動化されたCI/CDパイプラインを通じて開発者エコシステムに悪意のあるコードを注入しているとGoogleの研究者は警告しています。

Googleは、こうしたクラウドベースのビルドプロセスで使用される非人間IDを保護するため、「Verified CRX Upload」コントロールを導入し、この攻撃経路への対策としています。

Bernard Montel氏（TenableのEMEAテクニカルディレクター兼セキュリティストラテジスト）はCSOに対し、認証情報の侵害と設定ミスが「クラウドセキュリティのアキレス腱」であり続けていると述べ、Google Cloud研究者の重要な発見に同調しました。

Tenableの調査によると、クラウド環境全体で秘密情報や認証情報が日常的に不適切に扱われています。

AWS ECSタスク定義を使用している組織の半数以上（54%）、GCP CloudRunを使用している組織の52%が、設定内に秘密情報を埋め込んでいます。AWS EC2インスタンスの約3.5%にはユーザーデータ内に秘密情報が含まれています。

「これらの秘密情報は、多くの場合APIキーやトークンの形をとり、攻撃者にとって格好の標的となり、環境全体の完全な侵害につながりかねません」とMontel氏は説明します。

脅威はランサムウェアにとどまりません。例えば、Kinsingマルウェアキャンペーンは、設定ミスのあるコンテナやサーバーを悪用して暗号資産マイナーを展開し、Linuxベースのクラウドインフラを標的にしています。

場合によっては、攻撃者がマニュアルページディレクトリのような目立たないファイルシステムの場所にマルウェアを隠し、検出を回避しています。

「これらの認証情報が一度侵害されると、攻撃者はラテラルムーブメントや権限昇格を可能にし、従来の境界防御を回避して機密データを露出させることができます」とMontel氏は付け加えています。

北朝鮮のUNC4899クラスターは、ITGLのKasabji氏によれば、サイバー犯罪を目的としたこの手法の典型例です。「エンジニアはLinkedInやTelegramで誘惑され、悪意のあるコンテナを実行させられ、攻撃者はMFAを完全に回避する長期間有効なクラウドトークンを手に入れてしまいます」とKasabji氏は述べています。

対策

アイデンティティの衛生管理と設定管理は、クラウド防御者にとって最初の防衛線であり続けます。

Google Cloudのレポートは、堅牢なアイデンティティ・アクセス管理と積極的な脆弱性管理に加え、「堅牢なリカバリメカニズム」、「サプライチェーンの完全性のチェック」、そして「高度なソーシャルエンジニアリング攻撃への継続的な警戒」を推奨しています。

TenableのMontel氏は「これらの脅威に対抗するには、組織は多層防御戦略を採用する必要があります。最小権限の徹底、MFAとジャストインタイムアクセスによるIDの保護、設定ミスや公開状態の継続的な監視が不可欠です」と助言しています。