Microsoft 365、AWSユーザーはヒヤリ？　新手の凶悪マルウェアのヤバさ：744th Lap

クラウドサービスを多用する企業にとっては大きな脅威となり得る新たなサイバー攻撃が確認された。FBIらも注意喚起するほどというが、一体どんな手口なのか？

» 2024年01月26日 07時00分公開

[キーマンズネット]

　2024年になってもサイバー攻撃が止む気配はない。ターゲットを絞った標的型攻撃に注意が必要とされていて、企業は自社のみならずサプライチェーンへのサイバー攻撃にも備える必要がある。

　なんとも厄介な世の中だが、連邦捜査局（FBI）とサイバーセキュリティ・インフラセキュリティ庁（CISA）が共同で、新手のサイバー攻撃に関して「警告」を発した。「Microsoft 365」や「Amazon Web Services」（AWS）ユーザーもターゲットにされる恐れがあるという。その要注意なサイバー攻撃の手口とは？

　FBIとCISAが警告を発したのは「AndroxGh0st」と呼ばれるマルウェアに関するものだ。AndroxGh0stを使ったサイバー攻撃者たちの動きが活発化していると、注意喚起している。

　Tech系情報サイト「Bleeping Computer」の2024年1月16日の記事で警告の内容が紹介された。それによれば、Androxgh0stを使用するサイバー攻撃者たちがクラウド資格情報を窃取するbotネットを構築し、窃取した情報を使ってさらに不正な活動をしているという。

　AndroxGh0stとは2022年12月にサイバーセキュリティ企業Laceworkが発表したマルウェアで、PHPフレームワーク「Laravel」の脆弱（ぜいじゃく）性を突き、その環境ファイル（.env）に不正にアクセスして情報を盗み出すというものだ。

　同ファイルにはMicrosoft 365やAWS、「SendGrid」や「Twilio」などのクラウドサービスの認証情報はこのファイルに含まれているため、ターゲットにされやすい。2023年3月にはセキュリティ企業Fortinet傘下のFortiGuard Labsが「1日に4万台を超えるコンピュータがAndroxGh0stによる攻撃を受け、.envファイルをスキャンされたことを観測した」と発表をした。

　FBIとCISAによれば、AndroxGh0stは公開認証情報やAPIをスキャンして乗っ取る他、不正アクセスツール「WebShell」の展開やSMTP（Simple Mail Transfer Protocol）の悪用を手助けする機能もサポートしているという。

　AndroxGh0stを使うサイバー攻撃者たちは、盗み出したTwilioやSendGridの認証情報を悪用し、ターゲット企業になりすましてスパムメールをバラまいている。またAWSの認証情報を使って勝手に新しいユーザーを作成したり、ユーザーポリシーを変更したりといった動きも確認されている。不正にAWSインスタンスを作成し、AndroxGh0stによる攻撃を継続的に仕掛けるbotネットの構築を試みるケースもあるという。

　他にも、不正に得たアクセス権でWebサイトに侵入し各種データを窃取したり、偽のWebサイトを作成してバックドアを設置したりと、やりたい放題の悪行ざんまいだ。

　CISAは基本的な対処方法として「インターネットに接続されたシステムで悪用された既知の脆弱性へのパッチ適用を優先する」「必要なサーバとサービスのみがインターネットに公開されていることを確認する」「.env内のクラウドの認証情報を全て削除するか、それができない場合は.envファイルに認証情報がリストされているプラットフォームやサービスを確認して、不正なアクセスがないかどうかを確認する」などの対応を推奨している。

　さらにCISAは連邦政府の各機関に対しても、2024年2月6日までにAndroxGh0stによる攻撃からシステムを保護するよう早急に措置を施すようにと通達しているというから、事態は深刻のようだ。勤務先でも気になることがあれば、確認しておきたいところだ。