Recorded Futureの部門であるInsikt Groupチームは、2025年のクラウド脅威ランドスケープに関する包括的な分析を提供しました。アナリストは、敵対者が従来のマルウェアを放棄し、正当なクラウドサービス、信頼されたクレデンシャル、ネイティブプロバイダーの機能を悪用する攻撃の急速な増加を記録しています。その結果、クラウドは戦略的目標と強力な攻撃手段の両方として進化してきました。
著者らは5つの主要なベクトルを列挙しています。脆弱性と設定欠陥の悪用、クラウドサービスの不正な転用、クラウドネイティブランサムウェア、認証情報の流出、第三者の侵害です。初期のアクセスは、脆弱またはミスコンフィギュレーションされたインターネット向けサービス、および盗まれたパスワードとセッショントークンを通じて最も頻繁に達成されます。ペリメーターに浸透した後、攻撃者はハイブリッドインフラストラクチャーをナビゲートし、同期されたディレクトリと高特権ロールを乗っ取り、クラウド環境全体に対して完全な支配を行使します。
レポートは方法論の転換を強調しており、悪意のある行為者は広範な実行可能ファイルの展開から次々と撤退しています。代わりに、彼らはネイティブAPIと管理コンソールを利用してデータセットを暗号化し、バックアップをパージし、暗号化キーを操作し、ストレージリポジトリへの大量変更を実行します。ランサムウェアキャンペーンでは、組み込みの暗号化メカニズムに依存しており、このアクティビティが正当な管理操作を反映しているため、検出を困難にしています。さらに、従来のランサムウェアパラダイムは、被害者のデータの暗号化を必要としない新しい収益化スキームに置き換わっています。
異なるトレンドは、コマンドアンドコントロール(C2)インフラストラクチャーをホストし、データ流出を促進するために独自のクラウドリソースを登録することを含みます。ユビキタスなSaaSプラットフォームに向けられたトラフィックはしばしば正当な通信に偽装されます。したがって、デジタルカレンダーやクラウドストレージを通じて促進されるC2チャネルは、ますます日常業務と区別がつかなくなっています。同時に、クラウド環境を標的とした従来のDDoS攻撃は、最新のプロバイダーが採用している高度なフィルタリングメカニズムのため、効果を失っています。
2025年を通じて、機械学習サービスとLarge Language Model(LLM)への焦点が強化されました。敵対者は、侵害された開発環境と過剰な権限を持つロールを悪用してAmazon SageMakerとAmazon Bedrockをハイジャックし、ガードレール設定とデータソースを操作しながら、有害なコードをCI/CDパイプラインに注入します。マルウェアがシグネチャベースの検出を挫折させるために、動的コマンド生成のためにLLMを呼び出したインスタンスが記録されています。
サービスプロバイダーおよびSaaSプラットフォームの侵害は、最も破壊的なシナリオの1つです。信頼される統合、OAuthアプリケーション、または特権アクセス管理システムをハイジャックすることで、攻撃者は単一のコンジットを通じて複数のクライアントに対して同時の攻撃を仕掛けることができます。アナリストは、クラウドサービスの普及が続く中で攻撃面も同様に拡大する一方、熟練した専門家の不足は設定ドリフトと「セキュリティブラインドスポット」の出現につながることを強調しています。
Insikt Groupの評価によれば、データ流出はほとんどのインシデントの主要な目的のままですが、破壊的なアクションと恐喝と組み合わせられることがますます多くなっています。敵対者がアクセスを維持する期間が長いほど、クラウドインフラストラクチャー全体へのリスクはより深刻になります。かつてはビジネススケーラビリティのための便利な手段だったクラウドは、確実に永続的な紛争の劇場へと変わりました。成功はアクセス権の厳格な制御、継続的な監視、および設定管理の妥協のない規律に基づいています。
