Security Command Center クリプトマイニング保護プログラム

この保護プログラムは、Virtual Machine Threat Detection（VMTD）サービスの一部としての Google のクリプトマイニング検出技術への投資に基づいています。VMTD は、Security Command Center の Premium ティアと Enterprise ティアでのみ利用できます。そのため、VMTD がサポートするCompute Engine VM の種類とコンピューティング環境のみをこのプログラムでは対象としています。

プログラムの適用範囲:

• Linux ベースの Compute Engine インスタンスで、未検出の不正なクリプトマイニングが発生しています。

他のすべての Google Cloud サービスはプログラムの対象外です。これには以下が含まれますが、これに限定されません。

• Windows VM
• Confidential Compute VM
• Google Kubernetes インスタンス
• App Engineのインスタンス
• Cloud Run
• Cloud Functions

Security Command Center Premium または Enterprise のお客様は、このプログラムの対象外である Google Cloud サービスの使用状況をモニタリングして、クリプトマイニング攻撃が検出されないリスクを軽減することをおすすめします。

お客様が開始したクリプトマイニング アクティビティは、このプログラムの対象外です。Google Cloud でクリプトマイニング ソフトウェアを実行することは、Google Cloud Platform の利用規約に違反します。

以下は、プログラムの対象となるために確認および従う必要があるベスト プラクティスのリストです。詳細については、Security Command Center のクリプトマイニング検出のベスト プラクティスをご覧ください。

• お客様の Google Cloud 組織全体で Security Command Center Premium または Security Command Center Enterprise を有効にする
• お客様の Google Cloud 組織内のすべてのプロジェクトに対して Virtual Machine Threat Detection（VMTD）と Event Threat Detection（ETD）を有効にする
• Cloud DNS ロギングを有効にする
• Security Command Center Premium の場合、Security Command Center の検出結果をお客様の既存のセキュリティ運用ツール（Google Sec など）と統合して、クリプトマイニング攻撃の可能性または存在を示すセキュリティ検出結果に対応し、トリアージします。
• Security Command Center のユーザーとサービス アカウントに必要な IAM ロールと権限の割り当てを維持します。
• セキュリティに関する重要な連絡先を更新、維持する

これらのベスト プラクティスが自社の環境に実装されているかどうかをお客様が確認できるように、Google Cloud のセキュリティ専門家がこの検証スクリプトを公開しています。このスクリプトの出力はお客様にのみ表示されます。

お客様には、Compute Engine VM 環境でのクリプトマイニング攻撃が Security Command Center から通知され、ステージ 0 またはステージ 1 の検出の検出結果が 1 つ以上生成されます。

ステージ 0 の検出結果は、クリプトマイニング攻撃の先行指標であり、差し迫った攻撃や進行中の攻撃に対するコントロール プレーンの可視性を提供します。ステージ 1 の検出結果は、クリプトマイニング攻撃の正の兆候です。

ステージ 0 の検出結果

• アカウントの認証情報の漏洩
• 防御回避: 匿名化プロキシからのアクセス
• 初期アクセス: 使われていないサービス アカウントに対するアクション

ステージ 1 検出の検出結果

• マルウェア: 不正ドメインのクリプトマイニング（Event Threat Detection）
• マルウェア: クリプトマイニングの不正 IP（Event Threat Detection）
• 実行: 暗号通貨 YARA ルール（VM Threat Detection）
• 実行: 暗号通貨マイニングのハッシュ一致（VM Threat Detection）
• 実行: 検出の組み合わせ - YARA ルールとハッシュの一致（VM Threat Detection）

または、Google がお客様の環境でクリプトマイニング アクティビティを検出したことをお客様に通知する場合があります。

ステージ 0 またはステージ 1 の Security Command Center の検出の検出結果を生成するか、お客様に通知を送信することで、このプログラムの条件に基づく Google の通知に関する責任を果たします。

攻撃が始まってから Security Command Center が検出の検出結果を生成するまで、または、Google がお客様に通知を送信してからの間に遅れが発生した場合、お客様は攻撃の開始から通知までの Compute Engine の超過費用に対するクレジットをリクエストできます。詳しくは、Security Command Center のクリプトマイニング検出のベスト プラクティスをご覧ください。

本プログラムで Google Cloud クレジットの対象となるには、お客様はリクエストに際して次の条件を満たしている必要があります。

• イベントログや異常な Compute Engine 費用など、クリプトマイニング攻撃の発生を合理的に示す証拠を提出する。

• お客様が Security Command Center のクリプトマイニング検出のベスト プラクティスに記載されているとおり、このプログラムの Security Command Center のクリプトマイニング検出のベスト プラクティスに従っていて、クリプトマイニング攻撃に関して Google から検出結果またはその他の通知を受け取っていないことを合理的に示す証拠を記載して提示すること

Security Command Center Premium またはエンタープライズのお客様が Compute Engine VM 環境で未検出のクリプトマイニング攻撃を経験したことを Google が確認した後に、お客様は、Google の脅威検出能力の改善のために、Google Cloud のセキュリティ エンジニアと協力してフォレンジック アーティファクトを特定、共有する必要があります。

リクエストするフォレンジック情報には、攻撃者がアップロードした画像、実行されたクリプトマイニング バイナリ、攻撃中の攻撃者の振る舞いを説明する Cloud Audit Logs が含まれます。お客様は、要求に応じてこの情報を Google に提供します。また、お客様は要求された情報を確認し、Google と共有する前にセンシティブ データや専有データを削除する機会が与えられます。

i. 通則: 本プログラム規約は、Google Cloud Platform の利用規約を補完するものです。Google は、理由の如何を問わず、または 30 日前までに本ウェブページを更新することにより、本プログラムを変更または終了できる権限を有します。

お客様が本プログラムの Google Cloud クレジットの対象となるには、攻撃が開始されてから 30 日以内に Google Cloud クレジットのリクエストを提出する必要があります。

ii. Google Cloud クレジット: Google はお客様と協力して、クリプトマイニング攻撃によって発生した Compute Engine の費用を決定します。Google は、クレジットの支払いおよび適切な金額について合理的に判断します。このプログラムに基づいて発行されるクレジットの最大額は、12 か月間で 100 万米ドルを超えないものとします。本プログラムに関連するその他の救済措置、または明示的、黙示的、または法定保証（商品性および特定目的への適合性の保証を含みますが、これに限定されません）はいずれも提供されません。お客様が Google Cloud クレジットを利用できるのは、クリプトマイニング攻撃の開始から Google がお客様にクリプトマイニング攻撃の通知を行った期間に限られます。Google からお客様への通知後に発生したクリプトマイニング攻撃に関連する費用は、本プログラムの Google Cloud クレジットの対象外です。お客様に提供されるクレジットは換金できません。すべてのクレジットは発行後 12 か月、またはお客様の Google Cloud 契約の終了もしくは満了時に期限切れとなります。