サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 インシデント事例 狙われた特定クラウドサービス、新種マルウェアの脅威

狙われた特定クラウドサービス、新種マルウェアの脅威

狙われた特定クラウドサービス、新種マルウェアの脅威
目次
  • 今回の解説ニュース
  • 特定クラウドサービスを狙ったマルウェアの特徴
  • 過去の判例からみる「マルウェアの定義」

今回の解説ニュース

Huawei Cloud のサービスを狙う新規Linuxマルウェアの攻撃手口、トレンドマイクロ 解説

トレンドマイクロ株式会社は1月19日、Huawei Cloud上のサービスを狙う新規Linuxマルウェアの攻撃手口をブログで解説している。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

特定のクラウドサービスを狙ったマルウェアについて発表されています。暗号資産のマイニングやクリプトジャッキングを目的とした脅威の新たな手口について説明します。

今回の記事では、Huawei Cloudを標的としたLinux向けマルウェアの新たな手口について説明されています。マルウェアは、Huawei Cloud Linuxが持つセキュリティ機能の一つを無効化し、ECSインスタンスのパスワードをリセットするプラグインも含まれているため、攻撃者はHuawei Cloudの脆弱なECSインスタンスを標的にしていると推測されています。そして、今回の攻撃手口は、2020年にも見られたマルウェアの動作と酷似しており、関連性についても指摘されています。

さらに、マルウェアにはTorのプロキシサービスをインストールする特徴が挙げられており、マルウェアによる不正な通信が匿名化されることについても言及されています。Torとは「The Onion Router」の略で、ネットワーク通信の接続経路を匿名化するためのソフトウェアです。匿名化するために「玉ねぎ」の皮のように何重にも暗号化することから、IPアドレスに基づいて攻撃者を追跡することが困難になります。

特定クラウドサービスを狙ったマルウェアの特徴

今回発表されているマルウェアの特徴として「特定のクラウドサービスを標的にしていること」「別の攻撃者を排除しようとしていること」「何重にも解析できないように対策していること」が挙げられます。できるだけわかりやすく説明します。

まず、「特定のクラウドサービスを標的にしていること」については、先ほど説明した通りです。攻撃者が比較的新しいHuawei Cloudを標的にしている背景として、AWSやAzureと比べて実績が少なく、クラウドサービスの設定ミスが起きやすい現状が考えられます。攻撃者はこのような状況を鑑みて、あえて標的を絞ってきたのではないでしょうか。

次に「別の攻撃者を排除しようとしていること」については、マルウェアに感染した端末のリソースを独占しようとしていることが考えられます。具体的には、マルウェアが感染した端末のSSH鍵をすべて削除して自分の鍵のみを追加します。さらに、他の攻撃者と思われるユーザも削除し、自分のユーザを目立たない名前で追加します。そして、これらの設定が変更できないように制限しています。これらは、暗号資産のマイニングは多くのリソースを消費するために、他の攻撃者を排除することによって、より多くの利益を得ようとしていることが考えられます。

最後に、「何重にも解析できないように対策していること」については、先ほど説明したTorに加えて、プログラム自体も解析されないように難読化されています。より検出を困難にする投資に見合うだけの利益が期待できるのかもしれません。

過去の判例からみる「マルウェアの定義」

マルウェアとみなされる要件は「利用者の意図に反しているか」と「社会的に許容されない不正か」の2つを満たすかによって判断されているようです。コインハイブの裁判を振り返りながら説明します。

「コインハイブ裁判」の背景は
コインハイブのプログラムが設置されたWebサイトでは、閲覧者の端末で暗号資産のマイニングが行われ、管理者はマイニングされた暗号資産を手に入れることができます。このような状況に対して警察は、コインハイブを違法なマルウェアとみなし、Webサイトにコインハイブを設置した管理者を起訴しました。
コインハイブをWebサイトに設置する事がマルウェアの保管に?
刑法では、正当な理由なくマルウェアを作成したり、提供したり、保管したりすると処罰の対象になるとしています。つまり、コインハイブをWebサイトに設置することが、マルウェアの保管にあたるという解釈がなされたことになります。この点について被告が無罪を主張したため、裁判によって争われました。
結果は2つの要件を「満たさない」と判断
結論として、1審、2審、最高裁でも「利用者の意図に反している」と認められながらも、2審を除いて「社会的には許容される」として、コインハイブは違法なマルウェアではないと判断されました。最高裁では、コインハイブがWebサイトの管理者にとって適切なマネタイズ方法の一つであるため、社会的に許容できると認めたようです。

今回は、クラウドを狙ったマルウェアの新たな手口とコインハイブの裁判についてお届けしました。生活をより豊かにしていくために新しい技術は必要不可欠ですが、その技術が正しく使われるためにも、利用者のモラルがより強く求められるということになります。

音声で聴かれるかたはこちら

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ