AWSユーザーは注意、誤って公開した環境設定ファイル(.env)が原因でサイバー攻撃
2024年8月20日(火)8時44分 マイナビニュース
Palo Alto Networksは8月15日(米国時間)、「Leaked Environment Variables Allow Large-Scale Extortion Operation of Cloud Environments」において、Amazon Web Services(AWS)の顧客が誤って公開した環境設定ファイル(.env)からIDおよびアクセス管理(IAM: Identity and Access Management)の認証情報を窃取するサイバー攻撃キャンペーンを発見したと報じた。このキャンペーンでは、窃取した認証情報から管理者権限を持つ新しいIAMロールを作成し、Amazon Simple Storage Service(S3)のオブジェクトを窃取して身代金を要求するという。
○攻撃手順の概要
同社は過去1年間のAWS環境におけるさまざまなインシデントについて、環境変数ファイルを誤って公開することによるインシデントが多いと分析している。このケースにおける基本的な攻撃手順は次のとおり。
攻撃者は最初に誤って公開された環境変数ファイルからIDおよびアクセス管理の認証情報(アクセスキー)を入手する。次に、この認証情報を悪用して標的のクラウド環境に侵入し、以下のサービスとユーザー情報について調査を実施する。
IDおよびアクセス管理(IAM)
Security Token Service(STS)
Simple Storage Service(S3)
Simple Email Service(SES)
調査を終えると管理者権限を持つ新しいIAMロールを作成して権限を昇格。マイニングを目的としたAmazon EC2リソースを作成する。次にSimple Storage Service(S3)へアクセスし、すべてのオブジェクトを窃取して削除。空になったバケットにメモを残して身代金を要求する。
なお、Palo Alto Networksが分析したインシデントにおいて、攻撃者はAmazon EC2リソースの作成に失敗したとされる。しかしながら、この試みは攻撃者の目的が金銭にあることを明らかにしている。
最後に悪意のあるLambda関数を作成し、環境変数ファイル(http://標的のアドレス/.env)を窃取するスクリプトを実行。自らの存在を秘匿しつつ、次の標的へ攻撃を拡大する。
○影響と対策
Palo Alto Networksの調査によると、脅威アクターは複数の組織のAmazon Web Services上に攻撃用インフラストラクチャを構築し、そこから2億3,000万以上の特定の標的をスキャンしたという。標的となったドメインは約11万とされ、窃取された環境変数ファイル(.env)は9万以上とされる。また、窃取された環境変数ファイルにはクラウドサービスに関連する約7,000の情報と、約1,500のソーシャルメディアアカウントの情報が含まれていたとみられる。
Palo Alto Networksは、今回発見したようなサイバー攻撃キャンペーンを回避するため、次のような対策を推奨している。
環境設定ファイル(.env)を公開しない
可能な場合はIAMアクセスキーではなく一時的なIAMロールを使用する
最小権限の原則に従う。IAMリソースに関連付けられた権限を制限し、攻撃者が管理者権限のIAMロールを作成できないようにする
AWSアカウント内の未使用リージョンをすべて無効にする
ログを記録する。90日間以上の保存が推奨される
また、可能であれば高度なファイアウォール、高度なURLフィルタリング、拡張検出と応答(XDR: eXtended Detection and Response)など、新しいクラウドセキュリティソリューションの導入も推奨されている。Palo Alto Networksは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
○攻撃手順の概要
同社は過去1年間のAWS環境におけるさまざまなインシデントについて、環境変数ファイルを誤って公開することによるインシデントが多いと分析している。このケースにおける基本的な攻撃手順は次のとおり。
攻撃者は最初に誤って公開された環境変数ファイルからIDおよびアクセス管理の認証情報(アクセスキー)を入手する。次に、この認証情報を悪用して標的のクラウド環境に侵入し、以下のサービスとユーザー情報について調査を実施する。
IDおよびアクセス管理(IAM)
Security Token Service(STS)
Simple Storage Service(S3)
Simple Email Service(SES)
調査を終えると管理者権限を持つ新しいIAMロールを作成して権限を昇格。マイニングを目的としたAmazon EC2リソースを作成する。次にSimple Storage Service(S3)へアクセスし、すべてのオブジェクトを窃取して削除。空になったバケットにメモを残して身代金を要求する。
なお、Palo Alto Networksが分析したインシデントにおいて、攻撃者はAmazon EC2リソースの作成に失敗したとされる。しかしながら、この試みは攻撃者の目的が金銭にあることを明らかにしている。
最後に悪意のあるLambda関数を作成し、環境変数ファイル(http://標的のアドレス/.env)を窃取するスクリプトを実行。自らの存在を秘匿しつつ、次の標的へ攻撃を拡大する。
○影響と対策
Palo Alto Networksの調査によると、脅威アクターは複数の組織のAmazon Web Services上に攻撃用インフラストラクチャを構築し、そこから2億3,000万以上の特定の標的をスキャンしたという。標的となったドメインは約11万とされ、窃取された環境変数ファイル(.env)は9万以上とされる。また、窃取された環境変数ファイルにはクラウドサービスに関連する約7,000の情報と、約1,500のソーシャルメディアアカウントの情報が含まれていたとみられる。
Palo Alto Networksは、今回発見したようなサイバー攻撃キャンペーンを回避するため、次のような対策を推奨している。
環境設定ファイル(.env)を公開しない
可能な場合はIAMアクセスキーではなく一時的なIAMロールを使用する
最小権限の原則に従う。IAMリソースに関連付けられた権限を制限し、攻撃者が管理者権限のIAMロールを作成できないようにする
AWSアカウント内の未使用リージョンをすべて無効にする
ログを記録する。90日間以上の保存が推奨される
また、可能であれば高度なファイアウォール、高度なURLフィルタリング、拡張検出と応答(XDR: eXtended Detection and Response)など、新しいクラウドセキュリティソリューションの導入も推奨されている。Palo Alto Networksは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
関連記事(外部サイト)
