AWSを狙う新手の脅威グループ「Crimson Collective」の実態:セキュリティニュースアラート
Rapid7は新たな脅威グループ「Crimson Collective」の活動を報告した。AWSクラウドを標的とし、不正アクセスや認証情報の悪用を通じて機密データを窃取し、金銭を要求するという。
Rapid7は2025年10月8日(現地時間)、新たな脅威グループ「Crimson Collective」の活動を報告した。このグループは主に「Amazon Web Services」(AWS)のクラウド環境を標的とし、企業のデータを不正に取得した上で金銭を要求する。同社は、同グループがRed Hatの「GitLab」リポジトリーから非公開データを窃取したと主張していることも確認している。
AWS環境を標的にする新脅威グループ 侵入から脅迫までの手口
Rapid7によれば、Crimson Collectiveの活動は2025年9月に複数の事例で観測され、攻撃は、AWSアクセスキーの不正取得を発端として始まった。侵入後、攻撃者は侵害したIAMアカウントの権限を利用して新規ユーザーを作成し、ポリシーを付与することで権限を拡大した。「AdministratorAccess」ポリシーを付与する行為が確認されており、これによって攻撃者はAWSリソース全体への管理権限を得ていた。
攻撃の初期段階で、Crimson Collectiveはオープンソースのツール「TruffleHog」を使用していた。TruffleHogは本来、開発者やセキュリティ担当者がコードリポジトリー内に漏えいした認証情報を検出するための正規ツールだが、同グループはこれを悪用してAWS認証情報を探索した。
ログ分析によって、侵害されたアカウントへの最初のアクセス段階で、TruffleHogのユーザーエージェントが使用されていたことが確認された。ただし、同ツールをどの環境で実行したのかは特定されていない。
権限昇格後、攻撃者はAWS環境全体の情報を詳細に調査していたことが判明した。CloudTrailログの解析によると、「Amazon Elastic Compute Cloud」(Amazon EC2 )インスタンスや「Amazon EBS」ボリュームRDSデータベース、VPC、セキュリティグループ、Route Tables、IAMロールなどの構成情報が幅広く収集されていた。攻撃者は「Amazon Simple Email Service」(SES)やSMSの利用上限(クオータ)を確認しており、これらを悪用すれば被害者の環境を通じて大量の電子メールやSMSを送信できる可能性があることが示唆されている。
収集した情報を基に、Crimson Collectiveはデータ窃取を実行していたことも分かった。RDS環境では「ModifyDBInstance」APIを使用してデータベースのマスターアカウントパスワードを変更し、管理者権限を取得してデータベース内容に直接アクセスしていた。続いて「CreateDBSnapshot」や「StartExportTask」APIを実行し、データベースのスナップショットを作成して「Amazon Simple Storage Service」(Amazon S3)バケットにエクスポートした。EBSボリュームに関しても同様にスナップショットを作成し、攻撃者が独自に立ち上げたEC2インスタンスに接続してデータを参照可能な状態にしていた。
その後、攻撃者はAmazon S3バケットに格納されているデータを「GetObject」APIで取得することで外部に流出させた。これらの操作は全て新たに作成されている管理者権限アカウントによって実行されており、クラウド環境全体を自在に操作できる状態にあったとみられる。
データの持ち出しが成功した場合、被害者には脅迫文が送付されている。Rapid7によると、Crimson Collectiveは被害者のAWS環境にあるSESを利用して脅迫メールを送信しており、外部のメールアドレスを使う場合もあった。このメッセージには、窃取したデータの範囲を説明する内容が含まれている。
Crimson Collectiveが複数のIPアドレスで同一環境内の複数アカウントを操作していたことも確認されている。脅迫文の文言から単独犯ではなく複数人で組織的に行動している可能性が高いとみられている。ただし、構成員の正確な人数や所在は明らかになっていない。
Rapid7はCrimson Collectiveの主な目的がデータベース、プロジェクトリポジトリー、顧客情報など価値の高いデータの収集および流出にあると分析している。こうした活動は企業の製品開発や顧客情報保護に深刻な影響を及ぼす恐れがある。
Rapid7は長期利用のアクセスキーを避け、一時的な認証情報を使ったIAMロールの利用を推奨している。最小権限の原則を適用し、異常なAPI呼び出しや不審なアカウント作成を監視する体制を整えることが求められるとした。ソースコードリポジトリーの認証情報スキャンや、重要リソースへのアクセスを特定のIPアドレスに制限する設定の導入も推奨されている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「OS標準の無料アンチウイルス機能で十分」には条件がある
昔と違って、OSに標準搭載された無償のアンチウイルスソフトは進化しており、もはや有償製品をわざわざ導入する必要もなくなっています。ただ無償のソフトを使うなら少し注意しておきたい点も。今回はそちらを解説します。
ホワイトハッカーが感心したフィッシング攻撃とは? 最新動向と対策を知る【動画あり】
フィッシングの進化はとどまることを知りません。最近は生成AIの普及によってより高度な攻撃も登場しています。『攻撃者の目』の第5回はフィッシングの最新傾向やホワイトハッカーが感心した攻撃手法、根本的な対策を考えます。
「脆弱性を見つけたらどうする?」 FeliCa問題が投げかけた情報開示のあるべき姿
FeliCaに関連した脆弱性を巡る報道は、脆弱性情報公開のプロセスやメディアの在り方など多くの問いを投げかけた。果たしてセキュリティ担当者は脆弱性とどう向き合うべきか。既存の公表プロセスの現状と課題、技術者の倫理を有識者が語った。
「ランサムウェアにデータを盗まれた!」ときに考えるべき最大の問題
ランサムウェア攻撃では、データを暗号化して恐喝する手法に加えて、データを窃取して「公開するぞ」と恐喝する手法も増えてきました。そこで今回はデータ窃取に目を向けて、ランサム被害の現場で起きた“怖い話”を紹介しましょう。