Cloudflareの無料VPN「WARP」を悪用してクラウドサービスを乗っ取るサイバー攻撃に要注意：セキュリティニュースアラート

Cado Securityは、サイバー攻撃者がCloudflareの無料VPN機能「WARP」の特徴を逆手に取ってクラウドサービスの乗っ取りに悪用していると報告した。

[後藤大地，有限会社オングス]

　Cado Securityは2024年7月17日（現地時間）、CloudflareのVPNサービス「Cloudflare WARP」（以下、WARP）がクラウドサービスの乗っ取りに悪用されていることを明らかにした。WARPを悪用した複数のキャンペーンが報告されている。

　WARPはCloudflareの国際バックボーンを利用してトラフィックを最適化する無料のVPNだ。VPNプロトコル「WireGuard」のカスタム実装を介してCloudflareデータセンターにトラフィックをトンネリングすることで接続の高速化が図られている。またエンドユーザーのIPを「Cloudflare CDN」の顧客に提示するよう設計されている。

無料VPN機能「WARP」を攻撃者が悪用　特徴を逆手に取ったその手法とは？

　Cado Securityの調査によると、CloudflareのCDNを通さずに直接ターゲットのIPアドレスに接続し、攻撃の発信元を特定されにくくすることを目的としたサイバー攻撃が観測されている。一つは最初のアクセスにWARPを利用して公開された「Docker」をターゲットにするクリプトジャッキング攻撃で、「SSWWマイニングキャンペーン」と呼ばれている。もう一つはWARPアドレスから発生するSSH攻撃の増加が観測されており、Cado Securityはこの攻撃を個別のキャンペーンによるものとしている。

　CloudflareのASNは一般的な攻撃元ではなく多くの組織で日常的に使用されているため、ネットワーク管理者はCloudflare ASNからのトラフィックを信頼したり無視したりする傾向にある。その結果、WARPで使用されるIP範囲はファイアウォールで許可されてしまうことが多く、セキュリティチームによるアラートのトリアージ中に見落とされてしまっている。

　WARPを利用した攻撃では、ネットワーク管理者がCloudflareからのトラフィックを信頼しがちであることを逆手に取って悪用している。組織はファイアウォールでCloudflareのIP範囲を適切に管理するとともに、強力な認証を導入するなどの対策を講じることが求められている。またDockerをインターネットに公開しないことも推奨されている。