不正なコイン マイニング、ランサムウェア、APT の標的はクラウド ユーザー: Google サイバーセキュリティ対応チームの Threat Horizons レポート創刊号より
Google Cloud Japan Team
※この投稿は米国時間 2021 年 11 月 24 日に、Google Cloud blog に投稿されたものの抄訳です。
Google はグローバルなサイバーセキュリティ脅威の状況や、そうした脅威に起因するリスクを軽減する手段に広く取り組んでいます。最近発足した Google サイバーセキュリティ対応チームを通じて、より多くのセキュリティ機能とアドバイス サービスをお客様に提供し、保護を強化しています。
このような取り組みの大部分を占めるのは、Google の集合的な脅威インテリジェンスを統合して特定の洞察を得ることです。たとえば、悪意のあるハッカーは保護が不十分なクラウド インスタンスを悪用して暗号通貨マイニング ソフトウェアをシステムにダウンロードしており、そのための不正侵入は 22 秒以内で済んでしまうこともあります。この事実は、Threat Horizons レポートの創刊号で公開したいくつかの所見の一つにすぎません(エグゼクティブ サマリーやレポートの全文をご覧ください)。このレポートは、Google の Threat Analysis Group(TAG)、Google Cloud のセキュリティおよびトラスト センター、Google Cloud の Threat Intelligence for Chronicle、Trust and Safety といった組織に加え、お客様とユーザーの保護に共同で取り組む他の社内チームから得られた最近の所見にスポットをあてています。
このレポートの目標は、組織が絶えず進化する脅威からクラウド環境を最適に保護できるように実用的なインテリジェンスを提供することです。今回と今後の脅威インテリジェンス レポートでは、Google サイバーセキュリティ対応チームが、脅威の範囲スキャンや、傾向の追跡に加え、早急な対応を必要とする新たな脅威に関する早期警告のお知らせについてご紹介します。
クラウドのお客様は、アプリケーションやインフラストラクチャ全体でさまざまな脅威に直面していますが、攻撃の被害件数が多いのは、健全性維持が不十分だったり、基本的な管理機能の実装が欠如していたりすることが原因です。直近では、Google の社内セキュリティ チームは暗号通貨マイニングの不正使用や、フィッシング キャンペーン、ランサムウェアに対応しました。こうした特定の所見や一般的な脅威を踏まえると、安全な実装、モニタリング、継続的な保証を重視する組織は、脅威を軽減するか、少なくとも全体的な影響を軽減しやすくなります。
もちろん、2021 年のクラウド上の脅威に関する状況は、単なる不正な暗号通貨マイナーよりも複雑でした。TAG の Google 社内研究者は、9 月末にロシア政府が支援する APT28(Fancy Bear)によるクレデンシャル フィッシング攻撃(Google がブロックしました)を公開しました。また、北朝鮮政府が支援する脅威グループも公開しました。このグループは Samsung の求人担当者を装い、韓国のマルウェア対策サイバーセキュリティ企業数社の従業員に悪質な添付ファイルを送信していました。さらに Google 社内研究者は、BlackMatter ランサムウェア(DarkSide ランサムウェア ファミリーの後継)に感染したお客様のインストール環境を検出しました。
悪意のある行為に関するこうした事例において、セキュリティが不十分なお客様のインストール環境が影響していることが見てとれます。このような不正行為を阻止するために、Google はお客様との運命共有モデルを取り入れ、最近のサイバーセキュリティのインシデントやリスクを危うく逃れた経験から得た傾向と教訓をお伝えします。直面するリスクの管理に役立つ、お客様向けの具体的な対策をいくつかご紹介します。脆弱な GCP インスタンス、スピア フィッシング攻撃、ソフトウェアのパッチ適用、公開コード リポジトリの使用には、いずれもリスクが伴います。以下の推奨事項に従えば、ビジネスに損害をもたらすおそれのある予期しない財務上の損失や結果が生じる可能性を低くすることができます。
公開プロジェクトを監査して、証明書と認証情報が誤って公開されていないことを確認します。証明書と認証情報は、GitHub やその他のリポジトリで定期的に公開されているプロジェクトに誤って含まれています。監査により、この誤りを回避できます。
ダウンロードしたコードをハッシュで認証します。クライアントがクラウド リソースからアップデートやコードをダウンロードする一般的な方法では、処理中に不正なコードをダウンロードしてしまうおそれがあります。Meddler in the Middle(MITM)攻撃により、未承認のソースコードが本番環境に pull される可能性があります。すべてのダウンロードをハッシュし検証することで、ソフトウェアのサプライ チェーンの整合性が維持され、効果的な管理過程が確立されます。
複数の防御層を使用して、認証情報と認証 Cookie の盗難に対応します。クラウドでホスティングされるリソースには、高可用性や「いつでもどこでも」アクセスできるという利点があります。これにより従業員の作業が効率化されますが、悪意のある攻撃者はクラウドのユビキタスな性質を利用してクラウド リソースを侵害しようとします。サイバーセキュリティに対する世間の関心の高まりをよそに、スピア フィッシングやソーシャル エンジニアリングの巧妙な手口は成功することが多いため、防御策を堅牢にして多層化し、ユビキタス アクセスによるクラウド リソースを保護する必要があります。2 段階認証プロセスに加え、クラウド管理者はコンテキストアウェア アクセスと、BeyondCorp Enterprise や Work Safer などのソリューションを使用して環境を強化する必要があります。
Threat Horizons レポートのエグゼクティブ サマリーはこちらからご覧いただけます。レポートの全文では、クラウド上の脅威に関する現在の状況と、上記のリスクを軽減するための推奨手順について詳しく説明されています。こちらからダウンロードできます。
- Google Cloud CISO オフィス ディレクター Bob Mechler
- Google Cloud セキュリティ編集者 Seth Rosenblatt