Googleクラウドは、クラウド環境を標的とする脅威アクターが、認証情報ベースの攻撃よりもソフトウェアの脆弱性を悪用して初期アクセスを取得するキャンペーンを好むようになったと警告しました。
3月9日に公開されたGoogleクラウド CISO オフィスのH1 2026 Google Cloud Threat Horizons Reportは、2025年下半期に攻撃者がGoogleクラウドサービスを標的にしようとした方法に基づいて、クラウド脅威の状況がどのように進化したかを詳細に説明しています。
「チームは状況に根本的なシフトを観察しました」と、GoogleクラウドのセキュリティアドバイザーでCISO オフィスのクラウド脅威ホライゾンレポートプログラムの責任者であるCrystal Listerは述べました。
伝統的に、脅威アクターはGoogleクラウド環境へのアクセスを得るために、弱いまたは欠落した認証情報と設定ミスに依存してきました。
しかし、2025年下半期には、脅威アクターがパッチが当たっていないサードパーティの脆弱性を悪用する方向へ進みました。
合計すると、2025年下半期のサードパーティソフトウェアベースのエントリは、主要なエントリベクトルの44.5%を占めました。これは年前半に観測された2.9%から大幅な増加を表しています。
比較すると、エントリポイントとしての弱い、または欠落した認証情報の悪用は、年前半の47.1%から下半期の27.2%に低下しました。
React2Shell 最も標的にされた脆弱性
クラウドサービスを標的にするために最も一般的に使用されるソフトウェアの脆弱性の1つはCVE-2025-55182で、React2Shellとしてより一般的に知られているReact Server Componentsの重大なリモートコード実行脆弱性です。
この脆弱性により、攻撃者はサーバーを制御し、データを侵害することができます。北朝鮮と中国の両方にリンクされている国家主体の脅威アクターによるサイバー攻撃に関連付けられています。
「Googleクラウドの基盤となるインフラは安全なままですが、脅威アクターはパッチが当たっていないアプリケーションと許容的なユーザー定義ファイアウォールルールを正常に標的にしています」とGoogleクラウドは述べました。
同社はまた、攻撃者が公開開示後のソフトウェア脆弱性の大規模な悪用をより迅速に行うようになったと警告しました。
「あらゆる環境でこれらのリスクを軽減するために、クラウドディフェンダーはアイデンティティアクセス制御、データを保護するための集中化された可視性ツールの使用、および自動化されたポスチャー強制に焦点を当てるべきです」とGoogleは述べました。
レポートによると、脆弱性開示から大規模な悪用までのウィンドウは、数週間からわずか数日に「桁違い」に縮小しました。結局のところ、組織が開示から数日以内に脆弱性にパッチを当てていない場合、クラウドサービスは攻撃者に対して脆弱です。
例えば、Googleクラウドは2025年12月のReact2Shellの公開開示からわずか48時間以内に、複数の脅威アクターが脆弱性を悪用して被害者を暗号通貨マイニングマルウェアに感染させていたことに注目しました。
Googleは新たに開示された脆弱性の犠牲にならないようにするために、組織が何をすべきかについてアドバイスを発行しました。
「防御的には、組織は手動パッチ適用から自動化された防御(Web Application Firewall(WAF)のパッチなど)へ転換して、ソフトウェアアップデートを適用できる前にネットワークエッジで悪用を無効化すべきです」と同社は推奨しました。
翻訳元: https://www.infosecurity-magazine.com/news/cloud-attackers-prefer-exploits/
