Crypto Miningとは?なぜそれが脅威なのか?
"暗号通貨の採掘(クリプトマイニング)は、コンピュータの処理能力を使って複雑な数学的問題を解決したり、デジタル取引を検証したりするもので、採掘者は少量のサイバー通貨で報酬を得ることができます。"
ソース : サイバー.gov.au
ハッカーは顧客のクラウドに侵入し、マイニング用に大容量のCPUを搭載したサーバーを大量に稼働させ、不幸な顧客が侵入に気づくまで(ほとんどの場合、クラウド事業者から驚くべき請求書を受け取った後に)収益を上げ続けることができるからです。
“最近の多くの調査では、クラウドにおける設定ミスの99%が気づかれていないことが指摘されています。“
これらの一般的に普及している誤設定も パブリック・クラウドがCrypto minerの金鉱となる理由.このような設定ミスを利用して、採掘者は 無制限のCPU とコンピューティングパワーを駆使しています。
クラウド・クレデンシャル侵害の概要
先日、Google Cloudでサービスアカウントキーが侵害され、暗号化されたマイニング活動が行われたお客様にインタビューを行いました。
この事件を複数のステップに分け、攻撃者が流出した認証情報をどのように利用するか、そして最も重要なことは、このような事態が発生した場合に組織がどのように対処するかを理解することです。
クラウドプロバイダー
従業員が誤ってGCPサービスアカウントのユーザー名/キーを個人のGITレポに保存してしまいました。
その後まもなく、Googleからサービスアカウントの侵害が検出されたというメールが届きました。そのメールには、次のような内容が書かれていた(検知時間を大幅に短縮してくれる救世主のようなサービスと言わざるを得ない)。
このメールでは、問題となっているサービスアカウントと、公開されているGithubレポのURLが明確に示されていました。また、サービスアカウントの廃止を含む2つのステップを推奨しており、これは必ず実行しなければなりません。
調査
これらのVMを放置しておくと、数万ドルのクラウド費用が発生する可能性がありました。
鉱夫が狙うのはこれこれは、ほとんどの組織が、これらの侵入を検知して対処する手段やメカニズムを持っていない可能性が高いということです。
それはテーブルの上に残されたお金です。
もしこれが私や私の組織に起こったら、どうすればいいのでしょうか?
- 侵害されたサービスアカウントのすべての(または一覧の)認証情報を取り消します。
- 許可されていないVMやリソースの削除
複数の要因があります。パブリック・クラウドは動的であるため、ベースラインで固められた環境を持つことは非常に困難です。
すべてのクラウドプロバイダーには複数のリージョンが存在します。漏洩したサービスアカウントは、それらのすべての地域でインフラストラクチャ/リソースを作成する権限を持っている場合があります。クラウドプロバイダーのウェブコンソール画面では、リソースの地域別表示が常に行われています。そのため、どの地域にも新しいコンピュートリソースや請求可能なリソースが作成されているかどうかを確認するには、地域を切り替える必要があります。
漏洩したサービスアカウントがクロスアカウントのパーミッションを持っていたとしたら?もしあなたがクラウド管理チームの一員であれば、悪夢のようなシナリオです。何百、何千ものアカウントやプロジェクトを抱えている場合は容易ではありません。
どのようにしてリスクをトリアージし、抑制するのか。
まず、侵害されたサービスアカウントのすべての(または一覧の)認証情報を確実にREVOKEします。
次に、パニックになるのではなく、クラウドサービスプロバイダーのIAMログを利用して、侵害されたサービスアカウントで実行されたアクティビティを把握します。
GCPを使用している場合(この例のように)、StackdriverのIAM監査ログを確認します。問題のサービスアカウントでフィルタリングし、最近のすべてのアクティビティを探します。その後のフィルタリングされたリストには、新しく起動されたEC2インスタンス(ある場合)や、そのサービスアカウントによるその他のリソースの作成/削除/変更アクティビティが表示されます。
不正な起動を発見した場合は、直ちにシャットダウンし、クラウド事業者にチケットを発行して報告してください。クラウドプロバイダーは、このような侵入行為を適時に開示すれば、通常、発生したコストを免除してくれます。
複雑になることはありますか?
絶対に - すべてのクラウド・アカウントのログを一元管理していない場合、クラウド管理者にとっては悪夢となります。そうなると、クラウド管理者にとっては、異なるクラウド・アカウントのすべてのログ・ファイルをかき分けて、侵害を検知することは悪夢のような作業になります。
AWSの場合、攻撃者は通常ロールチェイニングを使用してクラウドを横に移動するため、非常に厄介なことになります。クラウドアカウントでのロールチェイニングを検出してトリアージし、ルートイベントを絞り込むのは複雑で時間がかかります。
この記事では、「クリプトジャッキング」の例を挙げ、クリプトマイナーが一般的なクラウドの誤設定を利用して、パブリッククラウドのコンピュートリソースを悪用する様子を紹介しました。
しかしサービスアカウントの侵害は、決してクリプトジャッキングの活動に限ったことではありません。ひとたび侵入者が現れれば、クラウド・インフラに壊滅的なダメージを与えることができます。サービスアカウントに管理者権限が与えられている場合、彼らはあなたの大切なデータを探し出して流出させたり、稼働中の本番サーバーを停止させたりすることができます。
クラウドをクリプトジャッキングから守るために
- クラウドの認証情報を保護します。
- クラウドでのベスト・プラクティスに従うように従業員を教育する。
- 従業員による偶発的な資格情報の漏洩に迅速に対応するために、文書化された事故対応メカニズムを導入する。
- クラウド上で人間/非人間の役割やIDを作成する際には、最小特権の原則に従ってください。これは、クラウドにおける最大の脅威となります。
- 上記の例では、サービスアカウントが仮想マシンを作成する権限を持っていなかった場合、悪用される可能性が非常に低いため、この侵害自体は低リスクです。
- クラウド ID に関連する権限を常に見直し、権利化します。使われていない権限があれば、それを削除します。
- IAMログの一元化。管理者は、クラウド・ポートフォリオ(シングルクラウドまたはマルチクラウド)で発生したイベントを統一的に把握する必要があります。
- すべてのクラウドのアイデンティティにおいて、時間通りに監査やフォレンジックを行うことができることは非常に重要です。すべてのログを合理化し、共通のプラットフォームに保存することで、この作業を容易にすることができます。
C3Mはどのようにクラウドのリスクを軽減することができるのでしょうか?
- ダッシュボードでは、クラウド上に存在するすべてのユーザー/ロール/サービス・アカウント/グループと、コンプライアンスの状況を可視化します。
- IAMアクティビティダッシュボードでは、クラウドインフラストラクチャ全体で発生するすべてのセンシティブなイベントを俯瞰的に見ることができます。
- などの質問ができる、インタラクティブなビジュアライゼーションです。
- 自分のアカウントで特定の役割を担えるのは誰ですか?
- 特定のロールを経由して、クラウドのエンティティにアクセスできますか?
- 特定のクラウドアプリケーションにアクセスできるのはどのような役割の人か? などなど。
- すべてのクラウドIAMアクティビティをリアルタイムに検知し、アラートを表示します。
- イベントログ画面では、指定された時間範囲で、すべてのクラウド上のすべてのアイデンティティの表示、監査、報告、フォレンジックを行うことができます。
- 特権ユーザー/サービスアカウントの監視と管理
- クラウドIDの異常検知(暗号化されたマイニング活動の検知を含む
- CVSSに基づく全IDのリスクスコア
- 様々なアクティビティやIAMレポートの生成とダウンロードが可能
- 事前に定義されたプレイブックまたはカスタムプレイブックを介して、リアルタイムのリメディエーションを設定する機能。
パブリック・クラウドは本質的に安全に設計されています。 安全に設定するだけ.クラウドを正しく設定する方法についてご質問がありますか?- ご質問があれば、下記までご連絡ください。 当社のクラウドセキュリティSMEが、お客様のチームに30分間の無料セッションを提供します。コミットメントは必要ありません。
