メディア

Microsoft 365、AWSユーザーはヒヤリ? 新手の凶悪マルウェアのヤバさ:744th Lap

クラウドサービスを多用する企業にとっては大きな脅威となり得る新たなサイバー攻撃が確認された。FBIらも注意喚起するほどというが、一体どんな手口なのか?

» 2024年01月26日 07時00分 公開
[キーマンズネット]

 2024年になってもサイバー攻撃が止む気配はない。ターゲットを絞った標的型攻撃に注意が必要とされていて、企業は自社のみならずサプライチェーンへのサイバー攻撃にも備える必要がある。

 なんとも厄介な世の中だが、連邦捜査局(FBI)とサイバーセキュリティ・インフラセキュリティ庁(CISA)が共同で、新手のサイバー攻撃に関して「警告」を発した。「Microsoft 365」や「Amazon Web Services」(AWS)ユーザーもターゲットにされる恐れがあるという。その要注意なサイバー攻撃の手口とは?

 FBIとCISAが警告を発したのは「AndroxGh0st」と呼ばれるマルウェアに関するものだ。AndroxGh0stを使ったサイバー攻撃者たちの動きが活発化していると、注意喚起している。

 Tech系情報サイト「Bleeping Computer」の2024年1月16日の記事で警告の内容が紹介された。それによれば、Androxgh0stを使用するサイバー攻撃者たちがクラウド資格情報を窃取するbotネットを構築し、窃取した情報を使ってさらに不正な活動をしているという。

 AndroxGh0stとは2022年12月にサイバーセキュリティ企業Laceworkが発表したマルウェアで、PHPフレームワーク「Laravel」の脆弱(ぜいじゃく)性を突き、その環境ファイル(.env)に不正にアクセスして情報を盗み出すというものだ。

 同ファイルにはMicrosoft 365やAWS、「SendGrid」や「Twilio」などのクラウドサービスの認証情報はこのファイルに含まれているため、ターゲットにされやすい。2023年3月にはセキュリティ企業Fortinet傘下のFortiGuard Labsが「1日に4万台を超えるコンピュータがAndroxGh0stによる攻撃を受け、.envファイルをスキャンされたことを観測した」と発表をした。

 FBIとCISAによれば、AndroxGh0stは公開認証情報やAPIをスキャンして乗っ取る他、不正アクセスツール「WebShell」の展開やSMTP(Simple Mail Transfer Protocol)の悪用を手助けする機能もサポートしているという。

 AndroxGh0stを使うサイバー攻撃者たちは、盗み出したTwilioやSendGridの認証情報を悪用し、ターゲット企業になりすましてスパムメールをバラまいている。またAWSの認証情報を使って勝手に新しいユーザーを作成したり、ユーザーポリシーを変更したりといった動きも確認されている。不正にAWSインスタンスを作成し、AndroxGh0stによる攻撃を継続的に仕掛けるbotネットの構築を試みるケースもあるという。

 他にも、不正に得たアクセス権でWebサイトに侵入し各種データを窃取したり、偽のWebサイトを作成してバックドアを設置したりと、やりたい放題の悪行ざんまいだ。

 CISAは基本的な対処方法として「インターネットに接続されたシステムで悪用された既知の脆弱性へのパッチ適用を優先する」「必要なサーバとサービスのみがインターネットに公開されていることを確認する」「.env内のクラウドの認証情報を全て削除するか、それができない場合は.envファイルに認証情報がリストされているプラットフォームやサービスを確認して、不正なアクセスがないかどうかを確認する」などの対応を推奨している。

 さらにCISAは連邦政府の各機関に対しても、2024年2月6日までにAndroxGh0stによる攻撃からシステムを保護するよう早急に措置を施すようにと通達しているというから、事態は深刻のようだ。勤務先でも気になることがあれば、確認しておきたいところだ。


上司X

上司X: またまた悪のサイバー攻撃者たちの暗躍をFBIとCISAが警告している、という話だよ。


ブラックピット

ブラックピット: また新手の手口ですか。


上司X

上司X: ああ。どうもbotネットを構築しながらいろいろ悪さをしているようだ。しかし、この手の話は尽きないものだなあ。


ブラックピット

ブラックピット: 今回はクラウドサービスが狙われてしまうんですね。


上司X

上司X: どれもメジャーなクラウドサービスだからな。AWSなんてどこの会社でも使ってるだろうに。


ブラックピット

ブラックピット: どこの会社も、ってのは言い過ぎかもしれませんが、実際のところ利用している企業は多いですしね。


上司X

上司X: 認証情報が盗まれて悪用される。年初から厄介なことになってきたものだ。


ブラックピット

ブラックピット: Laravelも人気ありますもんね。PHPのフレームワークの中では断トツの人気ですし。その脆弱性を狙ってくるんだから、攻撃者ってなんともズルい。


上司X

上司X: ズルいというか抜け目がないというかね。脆弱性については幾つか報告されていてその都度修正されているはずだから、企業側も十分に対策しておかないとな。FBIとCISAがそろって警告を出すぐらいのサイバー攻撃だ。大きな被害が出なければいいがな。

川柳

ブラックピット(本名非公開)

ブラックピット

年齢:36歳(独身)
所属:某企業SE(入社6年目)

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X(本名なぜか非公開)

上司X

年齢:46歳
所属:某企業システム部長(かなりのITベテラン)

中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。


Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。