Google Cloud Platformを脅かすクリプトマイナー

Google Cloud Platform内のクラウドシステムに対する典型的な攻撃とは?Googleのレポートより。

2021年の終わりにGoogleは、Google Cloud Platformのセキュリティに焦点を当て、クラウドユーザーに対する典型的な脅威に関するレポートを初めて公開しました(英語レポート)。Google Cloud Platformは企業クライアント向けのクラウドコンピューティングサービスです。個別のアプリケーションをホスティングして稼働させるというシンプルな使い方から、高パフォーマンスのコンピューティングまで、さまざまな用途に利用可能です。

Google Cloud Platformのインスタンスが攻撃される理由

このレポートは、Google Cloud Platformのカスタムインスタンスに対する攻撃の原因と結果的影響について取り上げたもので、カスタムサーバーまたはカスタムアプリケーションに対して達成された最近の攻撃50例を分析した内容となっています。分析対象の事例のうち48%は、サーバーベースのアカウントのパスワードが脆弱であった(またはパスワードが設定されていなかった)ことが原因でした。クラウドサーバーソフトウェアの脆弱性が悪用された事例が26%、サーバーまたはアプリケーションの構成ミスによるものが12%でした。パスワードまたはアクセスキーの漏洩によるものは4%にとどまりました。

パスワードまたはアクセスキーの漏洩には、認証データをソースコードと共にGitHubなどのサービスにアップロードしてしまうという、開発者には珍しくないミスが含まれます。GitGuardianのレポートによれば、GitHubにアップロードされる「秘密」(APIキー、ユーザー名とパスワード、証明書)は日々5,000件近くに上り、2020年には200万件もの漏洩がありました(英語レポート)。

Googleのレポートより、サーバーが攻撃される原因として挙がったもの。強度の低いパスワードまたはパスワードの設定がないことが、攻撃誘発要因として一番多い。

Googleのレポートより、サーバーが攻撃される原因として挙がったもの。強度の低いパスワードまたはパスワードの設定がないことが、攻撃誘発要因として一番多い。出典

Googleは、サイバー犯罪者は特定企業を標的にするのではなく、Google Cloud Platformに属するIPアドレス範囲を定期的にスキャンして脆弱なインスタンスを探す傾向にあると述べています。その意味するところは明白です。保護されていないサーバーをインターネットからアクセス可能な状態にしてあった場合、ほぼ確実に、おそらくはすぐに(多くの事例で、新しいインスタンスが上がってから30分以内に攻撃が開始されている)、ハッキングに遭う恐れがあるということです。ハッキングされてから悪意ある活動の開始までの時間はさらに短く、攻撃を受けたサーバーのほとんどは、30秒以内に不正な動作を実行させられています。

攻撃者がGoogle Cloud Platformのインスタンスを選ぶ理由

クラウドをハッキングした後、サイバー犯罪者たちは何をするのでしょうか。ほとんどの事例で(86%)、他者のリソースを使って暗号資産を生成するプログラムであるクリプトマイナーが、サーバーにインストールされています。ほとんどはCPU/GPUリソースを消費していますが、暗号資産Chiaのマイニングに関しては空きディスク容量が使われていました。これ以外には、ハッキングされたサーバーがポートスキャンに使用されていた(つまり、新たな標的を探すのに利用されていた)事例が10%、別のネットワークリソースの攻撃に利用された事例が8%でした。このほか、数は少ないながら、マルウェアまたは禁止されたコンテンツ(あるいはその両方)のホスティング、DDoS攻撃の実施、スパムの配信に使用された例もありました。

ハッキングされたクラウドサーバー上での悪意あるアクティビティのタイプ。一部の事例では、複数タイプのアクティビティが同時に実行されていた。

ハッキングされたクラウドサーバー上での悪意あるアクティビティのタイプ。一部の事例では、複数タイプのアクティビティが同時に実行されていた。出典

何者かによってクラウドサービスがハッキングされてクリプトマイナーがインストールされた場合、マイニングの活動によって、クライアントの評判が傷つき、クライアントのアプリケーションまたはWebサイトが危険にさらされます。それだけでなく、ほんの数時間のアクティビティであったとしても、大変な額が請求されることになる可能性があります。

Google Cloud Platformを保護するための推奨事項

調査対象となった事例のほとんどは、強度の高いパスワードを使用して認証要素を追加する、ソースコードをアップロードする際には適切な注意を払う、インストールされているソフトウェアの既知の脆弱性を修正するために定期的なアップデートを行うなど、最低限のセキュリティ要件に従っていれば問題を避けることが可能でした。

一般に、クラウドシステムにも、それ以外のインフラと同様に保護手段が必要です。最低でも、定期的な監査を実施し、疑わしいアクティビティの監視を行い、重要データを隔離する必要があります。

しかし、パブリッククラウドサービスにインフラを配備する際には、さらに追加の推奨事項があります。これは、Google Cloud Platformを利用している場合に限った話ではありません。中でも重要なものの一つは、Googleが述べているとおり、リソース消費が一定のしきい値を超えた場合またはコストの急激な増加が認められた場合のアラートを設定することです。

ヒント