AWS認証情報窃取事件が発覚 – 攻撃者の設定ミスで2TBの盗取データが流出

AWS認証情報窃取事件が発覚 - 攻撃者の設定ミスで2TBの盗取データが流出 - innovaTopia - (イノベトピア)

Last Updated on 2024-12-11 08:02 by admin

発覚時期:2024年8月
公表日:2024年12月9日のサイバーセキュリティ事案について。

サイバー犯罪組織「Nemesis」と「ShinyHunters」による大規模な認証情報窃取作戦により、1,526以上のAWS認証情報が窃取されました。2024年3月から継続していた攻撃は、攻撃者自身のS3バケット設定ミスにより露見することとなりました。

被害の詳細

– AWS IAM認証情報
– データベースアクセス情報
– Gitリポジトリ認証情報
– メール送信用SMTP情報
– Twilioなどのサービス認証情報
– 暗号資産取引所の認証情報

from:Cybercrime Gangs Abscond With Thousands of AWS Credentials

【編集部解説】

今回の事案は、クラウドセキュリティにおける「共有責任モデル」の重要性を改めて浮き彫りにした事例として注目に値します。

攻撃者たちは、AWSのインフラストラクチャそのものではなく、利用企業側の設定ミスを狙った点が特徴的です。皮肉なことに、攻撃者自身も同じ過ちを犯し、2TBもの盗取データを公開状態で保存していました。

特筆すべきは攻撃の規模と精緻さです。フランス語圏の攻撃者グループは、ShodanというITシステム検索エンジンを活用し、SSL証明書の分析やドメイン名の抽出など、高度な技術を組み合わせて標的を特定していました。

被害の深刻さを示す重要な点として、IAM(Identity and Access Management)権限の窃取があります。これにより攻撃者は新たな管理者アカウントを作成可能となり、被害を急速に拡大させる可能性がありました。

注目すべきは、攻撃者がTelegramチャンネルを通じて、1件の侵害データを数百ユーロで販売していた点です。これは、サイバー犯罪がビジネスモデルとして確立されつつある現状を示しています。

この事案から得られる教訓として、クラウドセキュリティは提供事業者だけでなく、利用企業側の適切な設定と運用が不可欠だということです。特に、ハードコードされた認証情報の排除や定期的な認証情報の更新といった基本的な対策の重要性が再確認されました。

今後の対策として、AWS Secrets Managerのような専用ツールの活用や、CanaryTokensによる不正アクセス検知の導入が推奨されます。これらは比較的低コストで実装可能な対策であり、特に中小企業にとって現実的な選択肢となります。

デジタルトランスフォーメーションが加速する中、このような事案は今後も増加すると予想されます。クラウドサービスの利用企業は、セキュリティ対策を「コスト」ではなく「投資」として捉え直す必要があるでしょう。

【用語解説】

  • AWS IAM (Identity and Access Management)
    AWSリソースへのアクセス管理サービス。組織内での権限管理の要となるサービスです。
  • Shodan
    インターネットに接続された機器を検索できる特殊な検索エンジン。一般的な検索エンジンがウェブページを探すのに対し、Shodanはネットワーク機器自体を探します。

【参考リンク】

  1. AWS IAM公式ページ(外部)
    AWSのIdentity and Access Managementサービスの詳細な説明と導入ガイド
  2. AWS Secrets Manager公式ページ(外部)
    AWSの認証情報管理サービスの機能説明と実装ガイドライン

【参考YouTube】

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » AWS認証情報窃取事件が発覚 – 攻撃者の設定ミスで2TBの盗取データが流出