Cloudflareの無料VPN「WARP」を悪用してクラウドサービスを乗っ取るサイバー攻撃に要注意:セキュリティニュースアラート
Cado Securityは、サイバー攻撃者がCloudflareの無料VPN機能「WARP」の特徴を逆手に取ってクラウドサービスの乗っ取りに悪用していると報告した。
Cado Securityは2024年7月17日(現地時間)、CloudflareのVPNサービス「Cloudflare WARP」(以下、WARP)がクラウドサービスの乗っ取りに悪用されていることを明らかにした。WARPを悪用した複数のキャンペーンが報告されている。
WARPはCloudflareの国際バックボーンを利用してトラフィックを最適化する無料のVPNだ。VPNプロトコル「WireGuard」のカスタム実装を介してCloudflareデータセンターにトラフィックをトンネリングすることで接続の高速化が図られている。またエンドユーザーのIPを「Cloudflare CDN」の顧客に提示するよう設計されている。
無料VPN機能「WARP」を攻撃者が悪用 特徴を逆手に取ったその手法とは?
Cado Securityの調査によると、CloudflareのCDNを通さずに直接ターゲットのIPアドレスに接続し、攻撃の発信元を特定されにくくすることを目的としたサイバー攻撃が観測されている。一つは最初のアクセスにWARPを利用して公開された「Docker」をターゲットにするクリプトジャッキング攻撃で、「SSWWマイニングキャンペーン」と呼ばれている。もう一つはWARPアドレスから発生するSSH攻撃の増加が観測されており、Cado Securityはこの攻撃を個別のキャンペーンによるものとしている。
CloudflareのASNは一般的な攻撃元ではなく多くの組織で日常的に使用されているため、ネットワーク管理者はCloudflare ASNからのトラフィックを信頼したり無視したりする傾向にある。その結果、WARPで使用されるIP範囲はファイアウォールで許可されてしまうことが多く、セキュリティチームによるアラートのトリアージ中に見落とされてしまっている。
WARPを利用した攻撃では、ネットワーク管理者がCloudflareからのトラフィックを信頼しがちであることを逆手に取って悪用している。組織はファイアウォールでCloudflareのIP範囲を適切に管理するとともに、強力な認証を導入するなどの対策を講じることが求められている。またDockerをインターネットに公開しないことも推奨されている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
世界規模で起きたWindowsブルスク問題 MicrosoftとCrowdStrikeが支援策公表
2024年7月19日に全世界的に「Windows」のPCでブルースクリーンが表示される大規模障害が発生した件について、MicrosoftとCrowdstrikeがインシデントの原因や対応策を公開した。
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
セキュリティ担当者がいま学びたいプログラミング言語とは?
Linux FoundationとOpenSSFが安全なソフトウェア開発教育に関するレポート「Secure Software Development Education 2024 Survey」を公開した。調査から、多くのセキュリティ担当者が積極的に学びたいと考えているプログラミング言語が判明した。
「サイバー攻撃はお金がかかる」 当たり前の結論から見えた新たな気付き
JNSAが「サイバー攻撃を受けるとお金がかかる〜インシデント損害額調査レポートから考えるサイバー攻撃の被害額〜」というストレートなタイトルの資料を公開しました。この資料から企業が次にやるべきことが見えてきました。