S3の標準機能だけでランサムを実現? マルウェアも脆弱性も使わない新手口

0

2025年03月11日 09:21  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

情報セキュリティ10大脅威 2025(出典:IPAのWebサイト)

 情報処理推進機構(IPA)は「情報セキュリティ10大脅威」の「解説書」を公開しました。10大脅威というとランキングに注目が集まりがちですが、本当に重要なのは、脅威の概要とその対処法です。


【画像】S3の標準機能だけでランサムを実現する攻撃とは?【全1枚】


 つまり、今回の解説書こそが本当のスタートです。挙げられた10個の脅威は2024年と大きく変わりませんが、解説が同じとは限りません。同じ脅威でも時代とともにその姿は変わります。セキュリティにおいては、やはり「知ってるつもり」「分かったつもり」が最大の脅威です。同解説書でも冒頭に、大変重要な留意事項がまとめられており、全員に読んで欲しいと思っています。ぜひ、解説書にも目を通しておいてください。


●S3の標準機能だけでランサムを実現? その厄介かつ巧妙な新手口


 名実ともに最大の脅威は「ランサムウェア」です。加えて、個人的にはSaaS利用における設定ミスに起因するインシデントは無視できず、なかなか対策方法が思い付きません。そんなことを思っていたら、ある興味深い手法を教えていただいたので紹介しましょう。


 トレンドマイクロの岡本勝之氏(セキュリティエバンジェリスト)によると、サイバーセキュリティ企業のHalcyonは2025年1月に、「Amazon S3」(以下、S3)の標準的な機能を利用して暗号化するというランサムウェア事案のレポートを公開しました。これを岡本氏に解説してもらいました。


 この攻撃の特徴は、過去に侵害された「Amazon Web Services」(AWS)のアクセスキーによってAWSの機能を使い暗号化し、期限後に削除するというものです。「Codefinger」と呼ばれる脅威グループによる攻撃とされ、脆弱(ぜいじゃく)性を利用せず、ランサムウェアの挙動をAWSの標準機能だけで実現するという、大変興味深い内容です。


 想定される攻撃のフローとしては、まず「GitHub」などに“誤って”公開されたAWSのアクセスキーを攻撃者が収集、それを基にして、正規の方法でAWSにアクセスします。S3のデータがターゲットになるのですが、攻撃者はS3の標準的な暗号化手法のうち、ユーザーが暗号キーを提供して管理する方式「SSE-C」を利用し、攻撃者だけがその鍵を持つかたちでS3のデータを暗号化します。


 この他、これもS3の機能であるデータ削除機能を使い、有効期限後に削除するように設定します。その上で、脅迫文であるランサムノートをアップロードし、「(標準機能で)暗号化した。(標準機能で設定した)削除期限までに支払え」と脅迫するのです。恐ろしいことに、ここまでマルウェアや脆弱性は利用されていません。あくまで標準機能だけで、膨大なデータを人質に脅迫が成立してしまうのです。


 この攻撃の根本原因は、誤って公開されたAWSのアクセスキーです。このような事例は国内でも多数報告されており、さらに報告されていない潜在的な事例が多数存在すると考えられています。


 こちら側としては「うっかり」でしかありませんが、あちら側は「必死」です。機械的に自動化されたbotがGitHubのソースコードをスキャンし、本来ならば埋め込んではならないアクセスキーを集めているはずです。アクセスキーが漏れてしまうと、上記の手法を使って簡単に脅迫ができてしまいます。この手法の巧妙さには感心するとともに、これまで以上に注意しなければならないと感じます。


 岡本氏は「正規の機能が悪用される事例は増えている」と話すとともに、「これらはクラウドサービスにおいて必須の機能だ。そのためアカウントに権限をどう与えるかなどを検討し、多要素認証などの導入を検討すべきだ」と指摘しています。


●新たな攻撃を防ぐために今すぐやるべき4事項


 今回の事例はS3の標準機能を悪用したものでしたが、これは恐らく他のクラウドサービスでも同様の手法が取れるのではないかと思います。クラウドサービスが公開しているベストプラクティスを基に、アカウントの認証を保護する手法や、権限を必要最小限とすることを、地道に実践していかなければなりません。


 この他、アクセスキーに対する「リスク」をしっかりと啓発することも重要です。特にソースコードの管理は自社だけでなく協力会社や委託先も含めて徹底しなければならず、この点も契約時に確認する、そして継続的にガバナンスが効いているかを監査することも必要でしょう。


 岡本氏はチェックリストとして、下記の4点を挙げています。


1. 組織内でのAWSアクセスキーの利用有無を把握しているかどうか


2. AWSアクセスキーを適切に管理できているかどうか


3. S3のデータ保管時の暗号化について考慮しているかどうか


4. クラウドの権限を含む、組織内でのクラウドサービスの設定状況とセキュリティリスクの把握や統制はできているかどうか


 情報セキュリティ10大脅威の留意事項では「ランクインした脅威が全てではない」とくぎを刺しています。今回の脅威も、10大脅威にランクインしたもの、していないものの複合技であり、見ていただくと分かるようにアクセスキーさえ奪ってしまえば、その後は平易な(それこそマニュアル通りの)手法でしかありません。


 しかしその実態は完璧なランサムウェア攻撃です。筆者も少し驚くとともに、このようなストーリーを一度知れれば、アクセスキーの取り扱いは慎重にしなければならないということが芯から理解できるのではないかと感じました。


 今回の事案は、開発に携わる方、そして経営層には必ず知っておいてほしいと思います。ぜひ、今日の話題にしてみてください。


筆者紹介:宮田健(フリーライター)


@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。

    Copyright(C) 2025 ITmedia Inc. All rights reserved. 記事・写真の無断転載を禁じます。
    掲載情報の著作権は提供元企業に帰属します。

    ランキングIT・インターネット

    アクセス数ランキング

    一覧へ

    話題数ランキング

    一覧へ

    前日のランキングへ

    ニュース設定

    このページの上部へ