ある朝、Azure使用料で数十万ドルの請求書が…… クラウドリソース不正利用の最新手口：CODE BLUE 2023レポート

ある日突然、Azureから数百万円単位の覚えのない請求書が届く……。攻撃者の目的は何か。クラウドコンピューティングを悪用する洗練された手口についてセキュリティリサーチャーが解説した。

[高橋睦美，ITmedia]

　クラウド環境の設定不備を突かれたり、管理者権限を持つアカウントを窃取されたりして、自社のリソースをクリプトマイニングなどに不正利用される攻撃はこれまでたびたび発生している。

　ある日突然、数十万から数百万円単位の請求書が届き、驚いて調べてみると、アカウントが不正利用され、勝手に仮想マシンなどのリソースが使われていたことが判明したというパターンだ。クラウドコンピューティングを悪用する巧妙な手口とその対策について、「Microsoft Defender for Cloud」のセキュリティリサーチャーであるダニエル・ダヴラエフ氏が解説した。

本稿は「CODE BLUE 2023」（2023年11月8〜9日）におけるダニエル・ダヴラエフ氏の講演「クラウドコンピューティングのダークサイド: 数百万ドルのクラウドコンピューティングを悪用する脅威アクターの手口」を編集部で再構成した。

合併などを想定したテナント移転機能が、リソース悪用の糸口に

　クラウドコンピューティング環境はサイバー攻撃者にとって魅力的なターゲットの一つだ。ダヴラエフ氏によると、「Microsoft Azure」（以下、Azure）においても、数十テナントにまたがり、数百万ドル規模に上る不正利用が判明したケースがあったという。平均被害額はわずか数日で30万ドル規模に上った。

　「被害者はある朝目覚めると、数百万ドル規模の被害を受けたことに気が付きます。調査に入る頃には、その金額はすでに失われた後です」（ダヴラエフ氏）

　ダヴラエフ氏が紹介したのは、Azureのサブスクリプションとテナント、ディレクトリの関係を悪用した手法だ。

　課金単位であるサブスクリプションと、リソース管理の単位であるテナントは別々の概念だが、Azureのサブスクリプションは基本的にテナントにひも付けられている。そしてサブスクリプションごとに、Azure上で動作する仮想マシンやストレージなどのリソースが管理される仕組みとなっている。

　ID基盤である「Microsoft Entra ID（旧Azure Active Directory）」（以下、Entra ID）には、外部の人とコラボレーションを実施する必要が生じる場合に備え、異なるテナントに所属するユーザーをゲストユーザーとして招待する機能を提供している。ここまでは多くの人が知っているだろう。

　だがAzureにはもう一つ、サブスクリプションが属するテナントのディレクトリを変更する機能も備わっている。これによってサブスクリプションを別のテナントに移転させることも可能だ。

　ダヴラエフ氏によるとこれは、法人ユーザーなどがより便利にAzureを使うための機能だった。「2つの企業が合併するとき、合併側がもう一方のサブスクリプションを、自身のEntra IDで管理したいと考えることがあるでしょう。また、メインのEntra IDとは異なるディレクトリでリソースを管理し、隔離することでセキュリティを確保したいと考えることがあるかもしれません」（ダヴラエフ氏）

　ディレクトリ変更機能は結果として、ダヴラエフ氏の想像以上に多くのユーザーに使われている。そして残念ながらサイバー攻撃者もまた、この機能に目を付けている。

　ディレクトリ変更機能には注意すべきポイントが1つある。この機能を使ってサブスクリプションを異なるテナントに移転しても、課金所有権はそのままとなるのだ。つまりそのサブスクリプション用に当初登録しておいたクレジットカード情報がそのまま課金に使われることになる。

　「なぜなら合併などの正当な理由でディレクトリを変更するほとんどの場合は、課金所有権を変更する必要がないからです。脅威アクターはこの機能を悪用して攻撃を仕掛けています」（ダヴラエフ氏）

水面下で進行するサブスクリプションハイジャック攻撃の洗練された手口

　こうした前提を説明した上で、ダヴラエフ氏は攻撃のステップを解説した。

　サイバー攻撃者がまず実行するのは、被害者側の管理者ユーザーのアカウント侵害だ。フィッシングやダークWebで売買される情報などを元に管理者ユーザーを乗っ取った後に、新しいサブスクリプションを作成する。

　次にサブスクリプションにゲストユーザーとして攻撃者自身を招待し、さらに管理者権限を割り当てた上で、自身の管理するテナントに移転させてサブスクリプションをハイジャックし、課金は被害者持ちとさせながらリソースを不正利用する。

　最初に管理者ユーザーを侵害した時点でもリソースの不正利用はできそうなものだが、サイバー攻撃者はこのような少しだけまどろっこしい手順を踏む。ディレクトリ変更に必要な権限の関係もあるが、大きな理由は被害者による検知をかいくぐるためだ。

　ダヴラエフ氏は「サブスクリプションを移行させるのではなく新しく作成したり、被害者のテナントで直接リソースを操作したりする攻撃もありましたが、こうした手法では、被害者がすぐに気が付いてしまいます」と話す。

　もちろん一連の攻撃に気が付く方法もある。覚えのないサブスクリプションが追加されていたり、そのサブスクリプションが移転されたりした形跡があることに気が付ければ、不正利用される前に食い止められるはずだ。

　ダヴラエフ氏は「それでもやはりこのサイバー攻撃は非常に見えにくく、気付かれにくい手法です。しかも一度サブスクリプションがハイジャックされてしまうと、関連するアクティビティーログは脅威アクターが保有するテナントに取り込まれてしまい、セキュリティ製品による防御や監査もできなくなります。脅威アクターの活動に関する痕跡が消えてしまうため、被害者側は手出しができなくなってしまいます」と警告した。

　ここまで来ると被害者に自力でできることはほとんどない。Azureのサポート窓口に連絡し、当該サブスクリプションの停止といった措置を依頼するしかなくなる。強いて対策を挙げるとすれば、最初の管理者ユーザーの乗っ取りを防ぐことがポイントになるだろう。

　「驚くべきことに管理者ユーザーへの攻撃は実は非常に簡単です。Microsoftのセキュリティレポートによると、グローバルで多要素認証を利用している管理者ユーザーは30％しかありません」（ダヴラエフ氏）

　つまりパスワードさえ破れれば、低いコストでこの攻撃が成功してしまう恐れがある。グローバル管理者からユーザーアクセス管理者へと権限昇格し、サブスクリプションの追加や移転を実行する手法も考えられる。

　では、こうして乗っ取られたリソースは何に使われているのか。それは主に暗号通貨のマイニングだ。

　「Azure Machine Learning」など最近のクラウドサービスではGPUを利用した高性能なインスタンスが提供されるようになった。サイバー攻撃者はこうしたリソースを狙い、非常に洗練された攻撃を実行している。

　「脅威アクターは『NVIDIA A100』を搭載した『Azure Virtual Machines』（Azure VM）の特定のバージョンを集中的に標的にします。マイニングがより容易になり、より多くの利益を得られるためです」（ダヴラエフ氏）。この結果、不正利用による平均被害額は30万ドルにも上っている。

　もちろんロケーションごとに利用できるリソースに上限を設けているケースもあるが、その場合でもサイバー攻撃者は複数のロケーションにサブスクリプションを分散させたり、クォータを追加するようリクエストを出したりして、制限をかいくぐっていくという。

　サイバー攻撃者はクラウドサービスならではの便利な機能も悪用している。「Azure Batch」を利用して、侵害後に「Azure Virtual Machine Scale Sets」を利用して数千もの仮想マシンを数分で作成し、クォータの上限に達すると別のリージョンに異動させる……といったプロセスを自動化し、リージョン間を異動しながら仮想通貨のマイニングを継続しているケースもあるという。

　ただしそれによって得られる利益は実は少額だ。「30万ドル規模の不正利用を実行しても、サイバー攻撃者は数千ドルしか利益を得られないというシミュレーションになりました。非常に非効率です」（ダヴラエフ氏）

事後対応は困難　ログの確認などで対策を

　サイバー攻撃者にとって非効率であるとはいえ、自身のサブスクリプションに攻撃者が使ったリソースの分を勝手に課金されるユーザー側にとってはたまったものではない。

　ダヴラエフ氏はこの攻撃に気が付く手掛かりとして「Azure Control Plane」とEntra IDのログのチェックを挙げた。Azure Control Planeログではリソースの作成・削除やコアの割り当てといった動きを、Entra IDログではゲストユーザーの招待やサインインなどの動きを把握できる。

　「検知のチャンスはここにあります。クォータの割当量を増やすリクエスト、あるいはコンピュートリソースを複数のロケーションで大量に作成していることが分かれば、サイバー攻撃への類似度が非常に高いという警告を出せるでしょう」（ダヴラエフ氏）。

　そしてパスワードスプレー攻撃やゲストユーザーへのロールの割り当てといった疑わしい行動に気付き、脅威が潜在的なうちに特定し、対処していくことが重要だ。

　ちなみに最後の質疑応答によると、サブスクリプションが別のテナントに移転されても、Microsoftからは特にそのことを通知する電子メールなどは送付されない。自分でアクティビティーログを見て、移転されたかどうかを確認するしかないという。

　クラウドリソースの悪用はサイバー攻撃者にとってはコストのかかる手法だが、それでも世界中で頻繁に発生している。数十万ドル規模もの被害を受けることも珍しくない。やはり質疑応答によると、明らかに脅威アクターによるものと証明できれば、ポリシーに基づいてマイクロソフトが保証、補填する可能性もあるが、基本的には被害に遭った顧客自身が支払う必要があるという。

　従ってこうした事態を防ぐため、まずアカウントを多要素認証などを用いて守り、モニタリングによって潜在的な脅威を早い段階で特定し、対処していくことが重要だとダヴラエフ氏はまとめ、講演を終えた。