クラウド プロバイダーがそのような活動を制限しようと努力しているにもかかわらず、情報セキュリティの専門家やハッカーは、クラウド サービス プロバイダーを定期的に悪用して偵察や攻撃を行っています。
「攻撃プラットフォームとしてのクラウド」[PDF]と題された最近の研究論文では、テキサス工科大学の 5 人の学者 (Moitrayee Chatterjee、Prerit Datta、Faranak Abri、Akbar Siami-Namin、Keith Jones) が、Black Hat カンファレンスや DEF CON カンファレンスに出席したコンピューター セキュリティのプロに対して行った一連のインタビューについて説明しています。
攻撃者の心理に関するより大規模な調査の一環として話を聞いた75人のセキュリティ専門家とハッカーのうち、93%以上が攻撃環境を作り出して攻撃を仕掛けるためにクラウド サービスを悪用したことを認めた。
「これらのプロのハッカーは、標的のマシンを調査し、被害者のデータを収集し、脆弱性を発見し、攻撃を仕掛ける際に、ステルス性と静粛性を保つために、リソース効率の高いクラウドプラットフォームの機能を悪用する共通の戦略を頻繁に採用していることがわかった」と論文は説明している。
「人口統計データは一切収集していないため、倫理的なハッカー/ペネトレーションテスターと悪意のあるハッカーを区別することはできません」と、博士課程の学生で責任著者でもあるチャタジー氏はThe Registerへのメールで述べた。「さらに、DEF CONのような会議では、参加者は名札をもらえません。私たち全員に『人間』と書かれたタグが渡されるのです。」
チャタジー氏によると、質問に答えてもらうための参加者を集めるのは、ソーシャルエンジニアリング攻撃を受けることを恐れていたため困難だったという。「参加者の中には、図を使って考えを書き込むためのペンを渡されたとき、生体認証データを盗んでいると思った人もいました」と彼女は語った。
研究者によると、クラウドサービスを攻撃活動に利用する攻撃者には共通のパターンがある。彼らは、仮想マシン(VM)と安全に通信するために仮想プライベートサーバー(VPS)またはマルチホップ仮想プライベートネットワーク(VPN)を構築し、NMap、Metasploit、WiresharkなどのサイバーセキュリティツールをVMにロードして攻撃活動を行う。
IaaS プロバイダーは、VM ネットワーク クォータや、AWS GuardDuty、Amazon Inspector などのアカウントを保護するツールを通じてこれを回避しようとしますが、情報セキュリティの専門家はプラットフォームの制限を回避することができます。
チャタジー氏によると、インタビュー対象者は主にAWSについて言及したが、Google Cloud Platformの不正利用も記録されているという。これらの企業は不正利用が発生していることを認識しているものの、それを阻止するための基本アカウントの監視が不十分だと彼女は述べた。
The RegisterはAWSとGoogleにコメントを求めた。Googleの広報担当者は、同社のGCP利用規定について言及した。AWSは回答しなかったが、同様のポリシーを掲げている。
レーダーの下を行く
研究者たちは、付随論文「クラウドを利用したステルス攻撃の実施」[PDF]の中で、いくつかの一般的な攻撃シナリオを特定しました。
起きろ!ITプロフェッショナルの4分の1は3~4時間しか寝られない。そして、何が「解決策」として宣伝されているのか信じられないだろう。
続きを読む
クラウドプラットフォームをフィッシング、DDoS攻撃、パスワードクラッキング、不正サービス、コマンドアンドコントロールサーバーの実行といった攻撃シナリオの概要を説明します。また、Oracle VirtualBoxとKali Linuxを用いたサンプル攻撃サーバーの設定方法についても説明します。
両論文は、7月に開催されるIEEE Computer Society Signature Conference on Computers, Software and Application (COMPSAC 2020)で発表される予定です。
研究者たちは、クラウドプロバイダーが不正利用に効果的に対処するための方法をいくつか提案している。その一つは、身元調査を通じて顧客の身元確認を強化することだ。偽のクレジットカード番号を提供するウェブサイトが存在することで、匿名でクラウドアカウントを作成することが容易になっていると研究者たちは指摘する。
また、ネットワーク使用状況の追跡強化と、よりインテリジェントなVM監視によって不審なアカウントを検出することも提案しています。クラウドプロバイダーは、ファイアウォールの使用を強制し、VMのソフトウェアアップデートを促して脆弱性から保護し、信頼できるソフトウェアリポジトリを作成してプラットフォーム上での攻撃ツールの利用を制限することができると述べています。
しかし、このような措置はクラウドプロバイダーにコストを課し、監視が厳しすぎると顧客を遠ざけてしまう可能性がある。
テキサス工科大学のコンピュータサイエンスの准教授であり、2つの論文の共著者であるアクバル・シアミ・ナミン氏は、クラウドプロバイダーが対処しなければならない技術的課題とビジネス的課題の両方があるとThe Regに語った。
「セキュリティ、特にインフラへのセキュリティ対策の追加は、追加コストを意味します」と彼は述べた。「また、基盤となるシステムの『使いやすさ』にも悪影響を及ぼします。クラウドプラットフォームは分散環境であるため、攻撃者による悪用を防ぐための強固な要塞を定義するのは非常に困難です。」
同氏はまた、顧客獲得プロセスに摩擦を加えることで生じるビジネス上の課題についても指摘した。
「クラウドがクレジットカード情報、氏名、住所といった個人情報を過度に要求すると、個人がクラウドで何かを試す可能性は低くなります」と彼は述べた。「そのため、クラウドプロバイダーは、潜在的な顧客(個人)が自社のクラウドプラットフォームの常連客(長期的な投資)になってくれることを期待して、ある程度の基本的なコンピューティング能力を『無料』で提供しているのです。」
クラウドシステムを悪用しようとする者は、この善意の行為を利用していると彼は述べた。
「クラウドプロバイダーはこの問題を認識しています」とシアミ=ナミン氏は述べた。しかし、技術的な観点から見ると、システムを万全のセキュリティで攻撃や不正使用から保護することは困難です。私たちの論文でも指摘されているように、これらの不正使用を特定するために、AIと自動検知機能を備えた、より成熟した、回復力のある、監視・追跡システムが必要なのかもしれません。」®
