Executive Summary

最近観察された攻撃手法のレビューで、Insikt Groupは、現在クラウド環境に最大の潜在的な脅威をもたらす5つの攻撃ベクトルを特定しました。これらの攻撃方法のうち、脆弱性の悪用、エンドポイントの設定ミス、アカウント乗っ取りにつながる認証情報の悪用という 3 つの攻撃方法により、脅威アクターに初期アクセスを許可する可能性があります。特定の状況では、これら 3 つの攻撃手法を初期アクセス後に採用して、クラウド環境内で権限を増やしたり、クラウド環境を変更したり、追加のクラウド環境、従来のオンプレミス環境、またはユーザー デバイスへのラテラル ムーブメントを許可したりすることもできます。残りの2つの攻撃方法、クラウド悪用とクラウドランサムウェアは、脅威アクターがクラウド環境内で実行できる影響アクションを示しています。

(脅威の)これらの脅威のそれぞれに対処するには、多くの場合、クラウド環境内に堅牢なロギングを実装して、ネットワーク通信、ユーザー アクセス、クラウド サービスの使用状況メトリックなどのデータに容易にアクセスし、異常がないか精査できるようにする必要があります。 ログデータは、設定ミスや脆弱性スキャンが発生するインスタンスなど、クラウド環境のエッジから発生する不審なアクティビティのプロアクティブな検出と、クラウドアカウントとリソースが悪意のある目的で悪用されているインスタンスの特定の両方に役立ちます。

クラウド環境への影響による脅威を軽減するには、ユーザーやサービスが環境と対話する方法など、クラウド環境のエッジと環境自体の両方で、環境の適切な構成が最も重要です。 適切に構成されたクラウド環境は、初期アクセスのリスクを最小限に抑え、脅威アクターが初期アクセス後に実行できる悪意のあるアクションを大幅に制限できます。さらに、最も一般的なクラウドプラットフォームは、Webアプリケーションファイアウォール(WAF)、IDおよびアクセス管理(IAM)サービス、シークレットストレージおよび管理スイート、ハイブリッド化クラウド環境用の安全なデータコネクタなど、クラウド環境のセキュリティに焦点を当てたネイティブサービスを提供し、クラウドアーキテクトがこのレポートで説明されている脅威を比較的簡単に軽減する(リスクを)軽減する、緩和する

主な調査結果

• ほとんどの最初の侵害、ハッキングは、公開または誤って構成されたクラウドエンドポイントから始まり、攻撃者はオープンソーススキャナーを使用して誤って構成されたエンドポイントを特定します。
• 盗まれた認証情報や脆弱な認証情報は、多くの場合、初期アクセスブローカー(IAB)や攻撃者が以前に実行した悪意のあるアクションから収集され、フルテナントのクラウド乗っ取りへの最速の道筋であり続けています。
• 脅威アクターは、正規のSaaSおよびIaaSリソースをますます悪用し、被害を受けた環境の所有者にコストを転嫁し、リソースを悪用して、フィッシングキャンペーンなどの後続の悪意のある行為の検知を複雑にしています。
• Ransomware グループはクラウドネイティブの 手口、戦術、S3 と Azure ストレージを直接暗号化し、バックアップを無効にしてレバレッジを最大限に活用しています。
• ハイブリッドインフラストラクチャにより、攻撃者はオンプレミス環境とマルチクラウド環境の間でシームレスにピボットできるため、可視性と制御はクラウド環境を超えて、クラウド環境にアクセスするデバイスやサービスにまで拡張する必要があります。

はじめに

過去10年間で、従来のオンプレミスITインフラストラクチャからクラウドベースのインフラストラクチャおよびハイブリッドクラウドインフラストラクチャへの着実な移行が行われてきました。PwCの 2023年クラウドビジネス調査によると、民間の回答者の39%が、業務全体をクラウド環境に移行したと回答しています。クラウド コンピューティングは、多くの企業の日常業務において信頼され、不可欠な部分となっています。PwCの(脅威についての)レポート作成の時以来、業界としてのクラウドコンピューティングは減速の兆しもなく成長の一途をたどっています。

クラウド製品の幅広さとクラウド環境によって提供されるサービスの深さは、日々拡大し続けています。Amazon と Telecom Advisory Services が実施した共同 調査 では、クラウドの導入は世界の国内総生産に占める合計 1 兆ドルを占めており、2024 年から 2030 年の間に 12 兆ドルに増加すると予測されています。この推定値は、従来のコンピューティング環境が今後数年間でクラウド環境に急速に移行し続けることを示しています。クラウドコンピューティングリソースに対する需要は、当面は増加し続けるでしょう。

クラウド コンピューティングの成功は、採用者に提供されるメリットに真っ向から起因します。クラウド環境を適切に構成すると、導入者は従来のオンプレミス環境に関連するコストをシフトし、リモート資産に高可用性を生み出し、マネージド サービスにアクセスすることで開発オーバーヘッドを排除できます。クラウドプロバイダーが、コストと運用の観点から従来の環境向けの同様の製品の効果を低下させる追加のサービスや製品を提供し続けるにつれて、クラウドの導入は今後も拡大し続けるでしょう。

背景

クラウドテクノロジー、プラットフォーム、およびサービスは、企業構造にますます実装されており、従来のオンプレミス環境のすべての利点を提供すると同時に、考えられるほぼすべての方法でオンプレミス環境に関連するコストを削減しています。この 関係性は 、PwCの「2024年クラウド・AIビジネス調査」でも実証されており、クラウド技術を導入した1,000社を対象とした調査のうち、クラウド環境を最適化した調査対象企業の74%が収益性の向上を報告し、同回答者の65%がコスト削減の増加を報告しています。これらのメリットは企業にとって非常に魅力的ですが、クラウド環境には独自のリスクとセキュリティ上の課題があり、適切に(リスクを)軽減する、緩和するサイバーセキュリティへの新しいアプローチが必要な課題があります。

クラウド環境の進歩により、組織が監視および防御しなければならないネットワークアクセス可能なエンドポイントの数も増加しています。大企業のエンティティが業務をクラウド環境に完全に移行した場合、ユーザーアクセスの促進、Webアプリケーションの展開、データ転送のサポート、その他多くの種類のアクセスを日常的に提供するために必要なエンドポイントが急速に積み重なり、より広範なインターネットと常に対話する多様な境界が作成されます。 この境界とインターフェースし、この境界内に組み込まれているテクノロジーは、独自のリスクとセキュリティ上の課題をもたらします。内面に目を向けると、同様の問題が依然として存在しており、クラウド防御者は、機密情報への不当なアクセスや、これらの環境でホストされているミッションクリティカルな資産の制御を許可することなく、クラウド環境の利点を提供するためにクラウド環境を効果的に設計する方法について新たな理解を必要としています。

Insikt Groupがこのレポートで説明しているように、脅威アクターは、クラウド防御者が対処しなければならないセキュリティ上の課題と、クラウドテクノロジー、環境、サービスがもたらす機会をますます認識するようになってきています。クラウド環境でホストされている膨大な量のデータ、アプリケーション、システム、その他の資産は、これらの資産を保護するタスクと相まって、脅威アクターに、これまでオンプレミス環境では達成できなかった方法で、侵害、ハッキング情報、環境リソースの悪用、違法行為からの利益を得る新たな機会を提供します。 さらに、 脅威アクター 攻撃チェーンの一部としてのクラウド リソースの有用性を理解し始めており、正規のクラウド ユーザーと同じ利点をすべて受けられることに気づき、従来のインフラストラクチャでは得られない方法で匿名性と検知機能の低下という利点が追加されています。

これらの攻撃者、犯罪組織によってもたらされる脅威を理解し、このレポートは、クラウド環境を標的に悪用する脅威アクターによって示された、最も影響力のある新興の手口、戦術、技術、手順(TTP(戦術・技術・手順))に光を当てるために作成されました。 そうすることで、脅威アクターがクラウド環境にどのような影響を与え、悪用しているかをきめ細かいレベルで理解し、クラウド防御者が必要に応じてより適切に特定して対応できるように、これらの脅威を緩和し、侵害の指標を探し、それらに関連する侵害の指標をハンティングする方法を理解することを目的としています。

方法論

このレポートでは、クラウド環境に対する 5 つの主な脅威を特定し、それぞれをそれぞれのセクションで検討します。

• クラウドの悪用
• 搾取
• エンドポイントの設定ミス
• クラウド Ransomware
• 認証情報の悪用とアカウントの乗っ取り

各セクションには、特定の脅威に関連する次の属性を測定するレーダー チャートが含まれています。これらの決定は、Insikt Groupが、この脅威ベクトルが観察された事例を調査し、次の質問に答えることによって導き出されました。

• 影響コスト: この脅威は、金銭的、評判的、運用上の損失の観点から、被害者にどれくらいの損失をもたらすでしょうか?レーダーチャートでは、数値が大きいほど、被害者が金銭的、評判的、運営的、またはその他の面で被ることが予想されるコストが高くなります。
• 共通： この脅威ベクトルは、実際のクラウド環境に対する攻撃チェーンでどのくらいの頻度で観察されますか?レーダーチャートでは、数値が大きいほど、クラウド防御側が自分の環境でこの動作を観察する可能性が高くなります。
• 進化の可能性: 脅威ベクトルを実現するために採用できる新しいツール、攻撃手法、TTP(戦術・技術・手順)という点で、脅威アクターがこの攻撃ベクトルをさらに「進化」させる可能性はあるのでしょうか? レーダーチャートでは、数値が大きいほど、脅威アクターはこれまで観察されていなかった方法でこの脅威を示す行動を実行できるため、検知が複雑になります。
• 実行する労力: この脅威ベクトルの実行に関連する技術的および金銭的コストはどのようなものですか?レーダーチャートでは、数値が大きいほど、攻撃者がクラウド環境に対してこの脅威を実証する障壁が大きくなります (一般的には、金銭的コストまたは技術的能力の観点から)

クラウド環境に対する脅威

クラウドの悪用

Key Takeaways

• 攻撃者は独自のクラウドインフラストラクチャを登録して、悪意のあるコンテンツをホストし、盗んだデータを独自のクラウド環境に流出させました。
• 侵害、ハッキングクラウド環境の用途は大きく異なり、責任者の脅威アクターの目標または習熟度によって決定されました。

図 1 は、クラウドの悪用に関連する属性を示し、比較したものです。各属性の説明は、このレポートの 「方法論」 セクションに記載されています。

影響コスト: 4 (高)

脅威アクターが被害者のクラウド環境を悪用する攻撃はコストが高くなりますが、脅威アクターが正規のサービスを登録して悪用する攻撃は比較的コストがかかりません。どちらの場合も、脅威アクターは正当なエンティティになりすまし、悪用された環境と所有者の評判の低下につながる可能性があります。その事例 脅威アクター 悪用侵害、被害者のクラウドインフラストラクチャを攻撃すると、クラウド環境の所有者のコストが増加することがよくあります。

共通度:4(高)

によって登録された正規のクラウドインフラストラクチャの悪用 脅威アクター 非常に一般的ですが、侵害の悪用、 被害者のクラウドインフラストラクチャは比較的一般的ではありません。 クラウドインフラストラクチャに対する攻撃の多くは、ある時点でクラウドサービスの制御を試みる脅威アクターが含まれており、この種の脅威は他のクラウド脅威に関して依然として一般的であることを示しています。

進化ポテンシャル:4(高)

脅威アクターは、過去1年間にクラウドの悪用を達成し、悪意のあるアクションを実行するために利用される方法は数多くあることを実証しました。さらに、「LLMjacking」などの新しい技術は、 脅威アクター へのアクセスを販売します侵害、ハッキング、クラウドベースのLLMモデルは、脅威アクターがクラウドサービスの悪用を収益化する方法を継続的に検討していることを示しており、将来的にはクラウドサービスの悪用の増加が予測されています。

実行努力: 3 (中程度)

合法的に登録されたクラウドインフラの悪用と侵害の両方、被害者のクラウドインフラは、脅威アクターに中程度の困難をもたらします。 前者の脅威タイプでは、攻撃者は大規模なクラウドプラットフォームに匿名で登録し、検出されることなく悪意のあるアクションを実行する方法を決定し、同時に環境に料金を支払う必要があります。後者の脅威タイプでは、脅威アクターは、包括的な目標を達成するために必要なクラウドサービスやシステムを適切に侵害した後にのみ、被害者のクラウドインフラストラクチャを悪用することができます。

脅威の概要

クラウドの悪用という用語は、脅威アクターがクラウド環境を標的にする際に示した2つの包括的な行動を指します。

• 悪意のある活動を実行するために、脅威アクターが取得した正規のクラウドインフラストラクチャの悪用
• 被害者が所有する正規のクラウドインフラを悪用すると、悪意のある行為が脅かされ、侵害され、悪意のある活動が行われる可能性があります

どちらの場合も、脅威アクターは不正な目的で正規のクラウドインフラストラクチャを悪用します。ただし、これらの各シナリオで脅威アクターが示す動作は大きく異なります。前者の例では、脅威アクターは主にこれらのリソースを悪用して、正当なトラフィックの一部として表示され、匿名のままになります。この動作は、 フィッシングキャンペーン、悪意のあるコンテンツをホストし、 脅威アクターのコマンド アンド コントロール (C2) インフラストラクチャ。 後者の例では、脅威アクターはクラウド環境を悪用して正当なエンティティになりすます可能性がありますが、環境のリソースを乗っ取り、コストを環境の所有者に転嫁する可能性もあります。このような場合、クリプトジャッキングやより最近の手法であるLLMjackingなどの追加のアクションが発生し、金銭的コストが膨らむ可能性があります。

今後の展望

脅威アクターは、いくつかの理由から、ほぼ確実に独自のクラウドインフラストラクチャを取得し続けるでしょう。

• 脅威アクターには、悪意のある行為を助長する匿名化要因に加えて、正規のクラウド ユーザーに提供されるのと同じ利点がすべて与えられます (図 2 を参照)。
• プロバイダーからの広範な精査なしに CSP からクラウド インフラストラクチャを取得するのは比較的簡単で、攻撃者は疑うことなく広範なクラウド環境を作成できます。
• 合法的に登録されたクラウド環境の悪用は、環境から発生した悪意のあるアクションの後に事後対応的に特定されることが多く、CSPが被害者の侵害の前にクラウドの悪用を検出する信頼できる方法を持っていないことを示しています。
• 脅威アクターは、あるクラウドプロバイダーから別のクラウドプロバイダーに簡単にピボットでき、クラウドリソースを悪用する際に悪意のあるアクションを実行しながら身元を隠すことができます

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。