fbpx

2022年クラウドネイティブ脅威レポート :サイバー攻撃の主要トレンド #aqua #セキュリティ #コンテナ #レポート #クラウドネイティブ

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

本ブログは「Aqua Security」社の技術ブログで2022年4月20日に公開された「 2022 Cloud Native Threat Report: Key Trends in Cyber Attacks 」の日本語翻訳です。


2022年クラウドネイティブ脅威レポート :サイバー攻撃の主要トレンド


企業がクラウドネイティブテクノロジーを急速に導入し続ける中、クラウドネイティブ環境を標的とするサイバー攻撃が増加しています。これらの脅威から身を守るために、セキュリティ担当者は、攻撃者の進化する戦術、技術、手順を常に把握する必要があります。Aqua のセキュリティ研究チームである Team Nautilus は、2022年のクラウドネイティブ脅威レポートにおいて、過去1年間に観測された攻撃を分析し、脅威の状況における最新の動向を明らかにしました。

攻撃はより巧妙になってきていますが、攻撃者は常に容易に攻撃できる標的を探しており、Kubernetes はそのような標的になりつつあります。また、クラウドネイティブのベテラン攻撃グループである Team TNT は、その活動を減速させているように見えます。しかし、従来の攻撃手法がクラウドネイティブの領域でますます使われるようになってきています。

「2022 Cloud Native Threat Report」の主なポイントをご紹介します。

攻撃者の戦術、技術、手順がより洗練されている

2021年に観測された最も一般的なマルウェアは引き続きクリプトマイニングでしたが、攻撃者はバックドアとワームの利用を増やしていました。バックドアは 54% の攻撃で発生し、2020年から 9% ポイント増加、ワームは 51% の攻撃で使用され、10% ポイント増加しました。

Team Nautilus は、ルートキット、ファイルレス実行、カーネルモジュールの読み込みを含む、より高度な活動も観測しています。クラウドネイティブ環境では、ホスト上で実行されるルートキットは、悪意のあるプロセスを隠蔽し、攻撃者がコンテナ化された環境からエスケープした後に検出される可能性を低減するために使用されることがあります。

DockerからKubernetesとCI/CDパイプラインに注目が集まる

設定ミスのある Docker API は、依然として攻撃者の人気ターゲットでした。Shodan や Censys のような検索エンジンとスキャンツールの効果的な使用により、攻撃者が公開された設定ミスのある Docker API を検出するのにかかった時間の中央値は、わずか 56分 だったのです。

しかし、攻撃者が脆弱な CI/CD や Kubernetes 環境にターゲットを広げ始めたため、Team Nautilus はこうした攻撃がわずかに減少していることを確認しました。Kubernetes の広範な攻撃対象領域は、攻撃者にとって特に魅力的であることが証明されました。Kubernetes 環境を標的とした悪意のあるコンテナイメージの数は、2021年に10ポイント増加し、19% になりました。

クラウドネイティブを狙った従来の攻撃手法

2021年、Team Nautilus は、クラウドのメタデータを盗むために、パスワードクラッキングやアプリケーションの脆弱性の悪用といった従来の手口を使用する攻撃者を観察しました。

この活動の意味するところは、攻撃者は、クラウド環境で動作するアプリケーションに特化した技法をより多く使用しているということです。このような動きは、Mirai、Muhstik、Kinsing などの大規模なボットネットが進化していることを示唆しています。

進化する脅威の状況についてさらに詳しく知りたい方は、「2022 Cloud Native Threat Report」の全文をご覧ください。

ソフトウェアサプライチェーンへの攻撃は引き続き急増中

2021年、ソフトウェアのサプライチェーンは攻撃の主要なターゲットとなり、そのようなエクスプロイトの推定数は少なくとも前年比 300% に急増しています。攻撃者は、オープンソースの脆弱性の悪用、広く使用されているオープンソースパッケージのポイズニング、CI/CD ツールやコードの整合性の侵害、ビルドプロセスの操作に力を注いでいました。

過去1年間に世界最大級のイメージライブラリにアップロードされた 1,100 以上のコンテナイメージを分析した結果、13% がクリプトマイナーのような潜在的に望ましくないアプリケーションに関連しており、1.3% がマルウェアに関連していることが判明しました。

Log4jの脆弱性はほぼ即座に悪用された

2021年12月に公開された一般的なロギングライブラリ Log4j のゼロデイ脆弱性(CVE-2021-44228)は脅威の発信源となりました。組織は、この脆弱性の影響を受けたか、あるいはどのように影響を受けたかを見極めるため、奔走することになりました。

Team Nautilus が設置したハニーポットは、わずか数時間で数十の攻撃を検出しました。その中には、ハニーポットを1、2回だけ攻撃する特徴的なものもあれば、数分おきに攻撃するものもあり、大規模なボットネットによる活動であることが示唆されました。既知のマルウェア、ファイルレス実行、メモリからダウンロードして実行するファイル、Reverse Shell 実行など、複数の悪意ある手法が検出されました。

Team TNT:引退したのか否か

クラウドネイティブ環境を標的とする大手攻撃グループである Team TNT は、2021年12月に引退を発表しました。しかし、その1ヶ月後にも Team Nautilus のハニーポットを積極的に攻撃していました。

ところが、新たな戦術は用いられていなかったため、継続的な攻撃は、まだ稼働している自動化された攻撃インフラの結果なのか、Team TNT が攻撃を継続していたのかは不明なままです。コマンド&コントロールサーバ、サードパーティレジストリ、ワームの一部は、依然として新しいターゲットを侵害していました。

組織を守るためには


クラウドネイティブへの移行は、組織と攻撃者の双方にとって、急速に進んでいます。クラウドネイティブ環境を狙うサイバー攻撃の数や種類が増加している中で防御策を講じるには、ランタイムセキュリティの確保、Kubernetes 防御のレイヤーアプローチ、開発時のスキャニングの実装が必要となります。

2022 Cloud Native Threat Report Tracking Software Supply Chain and Kubernetes Attacks

New call-to-action

新規CTA