Palo Alto NetworksのUnit 42が、JavaGhostと呼ばれる脅威アクターグループの活動を報告した。この報告は2025年2月28日に公開された。
JavaGhostは5年以上前から活動を開始し、当初はウェブサイトの改ざんに注力していたが、2022年に金銭的利益を目的としたフィッシング攻撃へと方向転換した。
2022年から2024年にかけて、JavaGhostはAmazon Web Services(AWS)環境を標的とした複数の攻撃を行った。攻撃者はAWSの脆弱性を利用するのではなく、被害組織の設定ミスにより露出した長期アクセスキーを悪用した。
JavaGhostの主な攻撃手法は以下の通り
- 露出したIAM(Identity and Access Management)ユーザーの長期アクセスキーを取得
- コマンドラインインターフェース(CLI)を通じてAWS環境に初期アクセスを獲得
- Amazon Simple Email Service(SES)とWorkMailを悪用してフィッシングメールを送信
- 正規のAWSインフラを利用することで、メール保護をバイパス
JavaGhostは高度な回避技術を用いており、AWS CloudTrailの検出を回避するために一般的でないAPIコールを使用している。
攻撃者の特徴的な痕跡として、「Java_Ghost」という名前のEC2セキュリティグループを作成し、「We Are There But Not Visible(私たちはそこにいるが、見えない)」という説明を付けている。
Unit 42は、組織がAWS CloudTrailログを監視し、JavaGhostの活動を示す特定のイベントに対してアラートを設定することを推奨している。
from:Threat Actor ‘JavaGhost’ Targets AWS Environments in Phishing Scheme
【編集部解説】
JavaGhostの活動は、クラウドセキュリティの重要性を改めて浮き彫りにしています。この脅威アクターグループの手法は、AWS環境の設定ミスを巧みに利用するものであり、多くの組織にとって警鐘となるでしょう。
JavaGhostの攻撃は、AWSの脆弱性を突くものではなく、むしろ組織側の設定ミスや不適切な権限管理が原因となっています。これは、クラウドセキュリティにおいて、ベンダー側の対策だけでなく、利用者側の適切な設定と管理が不可欠であることを示しています。
特に注目すべきは、JavaGhostが正規のAWSサービスを悪用してフィッシング攻撃を行っている点です。Amazon SESやWorkMailといった信頼性の高いサービスを使用することで、フィッシングメールの検出を困難にしています。これは、クラウドサービスの信頼性が逆に攻撃者に利用される可能性があることを示唆しています。
JavaGhostの攻撃手法の進化も見逃せません。初期の単純なウェブサイト改ざんから、より高度な回避技術を用いたフィッシング攻撃へと移行しています。特に、AWS CloudTrailの検出を回避するために一般的でないAPIコールを使用する手法は、防御側にとって新たな課題となるでしょう。
一方で、JavaGhostの活動はAWS CloudTrailログに痕跡を残すことが分かっています。これは、適切なモニタリングと分析を行うことで、攻撃を検知し対応できる可能性があることを示しています。組織は、ログ分析やセキュリティ監視の重要性を再認識する必要があるでしょう。
長期的な視点では、このような攻撃の増加は、クラウドセキュリティの分野でのイノベーションを促進する可能性があります。例えば、AIを活用した異常検知システムや、よりきめ細かな権限管理システムの開発が進むかもしれません。
また、このような事例は、クラウドセキュリティに関する規制や基準の強化につながる可能性もあります。組織は、今後より厳格なコンプライアンス要件に直面する可能性を考慮し、事前に対策を講じる必要があるかもしれません。
最後に、JavaGhostの事例は、サイバーセキュリティが単なる技術的な問題ではなく、組織全体で取り組むべき課題であることを再確認させてくれます。技術的対策はもちろん、従業員教育や組織文化の醸成など、総合的なアプローチが求められているのです。