Azure Storage Explorerを悪用してデータを大量流出 ランサムウェアグループの新手法：セキュリティニュースアラート

modePUSHはランサムウェアグループが、クラウドストレージ管理サービスAzure Storage Explorerを利用して企業の機密データを不正にコピーし、流出させていると伝えた。その手法と対策とは。

[後藤大地，有限会社オングス]

　セキュリティ企業のmodePUSHは2024年9月14日（現地時間）、ランサムウェアグループが、クラウドストレージ管理サービス「Microsoft Azure Storage Explorer」（以下、Azure Storage Explorer）やコマンドラインツール「AzCopy」などを使って企業の機密データを大量に流出させていると伝えた。

Azure Storage Explorerがランサムウェアグループに悪用される事態が発覚

　modePUSHの調査によると、ランサムウェアグループ「BianLian」や「Rhysida」がAzure Storage Explorerを悪用し、企業がクラウドストレージに保存した大量のファイルを不正にコピーしていることが明らかとなったという。

　Azure Storage Explorerは、Microsoft Azureストレージ内のBLOBやファイル共有などを管理するGUIツールで主にBLOBストレージやファイル共有を管理するために利用されている。このデータ流出には、Azureストレージデータ転送ツールのAzCopyが使われており、バックグラウンドで動作させることでデータ流出を可能にしている。

　modePUSHはAzure Storage ExplorerとAzCopyのログデータを通じて攻撃を追跡する方法も取り上げている。ランサムウェアグループが実行したファイル転送やアップロードの成功または失敗はログに記録されているため、ログを解析することでデータ流出を把握できるという。

　modePUSHの報告はランサムウェアの戦術が進化し続けていることを示唆しており、クラウドサービスが新たな脅威にさらされている現実を浮き彫りにしている。インシデント対応担当者は常に新たな傾向について情報を入手するとともに利用可能なフォレンジックアーティファクトを活用することが求められている。高度な脅威に対する防御を強化して重要なデータを保護することが望まれている。