セキュリティにクラウドの闇、Amazon EC2悪用の総当たり攻撃も


 ラックは8日、2009年の情報セキュリティ動向を総括する説明会を開催した。近年、「Amazon EC2」などに代表されるクラウドサービスがサーバーコストの削減につながるとして人気を集めているが、同様のサービスを攻撃者が悪用する例も増えているとして、「クラウドの闇の部分」について解説した。

Amazon EC2活用の総当たり攻撃、8けたのパスワード解読は3ドル

ラックサイバーリスク総合研究所の新井悠氏

 ラックサイバーリスク総合研究所の新井悠氏はまず、Amazon.comのサーバーリソースを時間単位で提供するAmazon EC2の持つ演算能力を利用して、文字列の可能な組み合わせをすべて試す「ブルートフォースアタック(総当たり攻撃)」でパスワードを解読するコストを試算した、海外の調査結果を紹介。それによれば、解読コストがかなり軽減されることがわかったという。

 例えば、アルファベットのみで構成される8けたのパスワードを解析する際のコストは3ドル、また、アルファベットと数字で構成される8けたのパスワードでは45ドルだった。新井氏は「攻撃者が通常使う解読ツールを購入するだけでも100ドルはする」と述べ、Amazon EC2のコストパフォーマンスの高さを指摘した。

 その一方で調査結果では、パスワードのけた数が多くなると、飛躍的にコストが高くなるとしている。例えば、アルファベットのみで構成される12けたのパスワードを解析するには152万9310ドル、アルファベットと数字で構成される12けたのパスワードを解析するには7593万5598ドルかかるとしている。

 Amazon EC2を悪用したセキュリティ攻撃について新井氏は、「Webアプリケーションを狙う攻撃が増えている。迷惑メールの踏み台として利用可能かどうかを調査する活動もあった」と説明。これに対して、世界最大の迷惑メール対策組織と言われる「Spamhaus」が、Amazon EC2をブラックリストとして指定する動きも見られたという。

Amazon EC2を使用したパスワードクラック試算Amazon EC2を使用したセキュリティ攻撃のイメージ

ユーザーのセキュリティ向上でボットネット拡大が困難に

Amazon Web Services(AWS)からの攻撃の推移

 ラックのセキュリティ監視センター「JSOC」の調べによれば、Amazon EC2を提供する「Amazon Web Services(AWS)」のIPアドレス経由の攻撃は増加傾向にある。国内で2008年に確認された同様の攻撃件数は50件だったが、2009年は11月時点で250件と約5倍に増えている。

 「クラウドの『光』の面は何度も聞くが、そこには『闇』の部分もあるのではないか。一部のセキュリティベンダーでは、ウイルスを解析する際にAmazon EC2を使ってコストを抑える動きもある。しかし、サイバー犯罪者がAmazon EC2を使い始めるとやっかいなことになる。」

 クラウドを悪用したセキュリティ攻撃が増える背景には、新規のOSを搭載したPCに買い換えるユーザーが増えたことでセキュリティが向上したことが挙げられるという。これにより、ボットネットを拡大することが難しくなったサイバー犯罪者は、「安価に大量のリソースを使えるクラウドを利用すればよい」といった判断が働いているようだ。

 その一方で、Amazon EC2やGoogle App Engineなどのクラウドを悪用すると、利用登録時に「足」が付くのではないかという疑問もある。この点について新井氏は、「当初はカジュアルに登録できたので追求されにくかった」と指摘。最近は本人認証が強化されつつあると語るが、「クラウド利用者が増えるほど悪用がわからなくなる」と懸念を示した。

「闇のクラウド」を提供する小規模ISPの存在も

 クラウドを用いたセキュリティ攻撃ではこのほか、Googleのインフラ上でWebアプリケーションを構築できる「Google App Engine」が悪用された事例を紹介。ラックでは、Google App Engineで構築された悪意のあるアプリケーションが、ボット感染PCに対してマルウェアを入手させるように命令するケースを確認したという。

 ボットが入手するマルウェアは、「Grey Pigeon」と呼ばれる中国製のトロイの木馬。「Grey Pigeon」はPCの遠隔操作を行うツールで、PCに組み込まれたWebカメラのコントロールを行うなど、完全に感染PCを制御できるという。ツールには無料版と有料版があり、有料版はセキュリティソフトの検出を逃れるためのアップデート機能も備えている。

 サイバー犯罪者のクラウド利用状況について新井氏は、現時点では犯罪に“使える”かどうか試している状態と指摘。さらに、複数のボットネットをホスティングしたため、上位プロバイダーに接続を遮断された米国のISP「MoColo」のように、「闇のクラウド」を提供する小規模なISPも存在しているとした。

 クラウドのセキュリティに関しては、ネットワークやサーバーを分散するクラウドの特性上、サイバー犯罪の攻撃ツールがいつ、どこで使われたかなどの証拠を特定することが難しい部分があると指摘。ラックとしては、クラウドを悪用したサイバー攻撃の原因の特定に力を入れているとした。

Google App Engineを使用したセキュリティ攻撃のイメージ「Grey Pigeon」の操作画面

米韓の大規模DDoS攻撃、被害の差は「CDN」導入の有無

 2009年における情報セキュリティのトピックとしてはこのほか、米国と韓国で同時に発生した大規模なDDoS攻撃を紹介。この攻撃では、米国では7月4日から、韓国では7月7日から数日間にわたり、政府や銀行、メディアのサイトなどが断続的に攻撃を受け、特に韓国側で大きな被害があったとされている。

 DDoS攻撃の攻撃元はボット感染PCだったが、通常のボットネットによるDDoS攻撃とは異なる形態が見られたという。通常であればC&C(Command and Control)サーバーからの命令を受けてボット感染PCが一斉攻撃を行うが、そのようなC&Cサーバーからの攻撃命令はなく、特定の時間になるとボット感染PCが攻撃を行うようにプログラムされていた。

 ボットの感染源は韓国で「Webハード」と呼ばれている、映画や音楽などのファイルを公開する違法サービスのサーバー。ラックによれば、サイバー犯罪者は「Webハード」のサイトに侵入し、ファイルのアップロード専用ツールのリンク先を改ざんしてマルウェアを仕込んだ。これをダウンロードしたユーザーの12万から18万台のPCが感染したという。

 DDoS攻撃による被害が韓国では大きかった一方で、米国の被害が少なかった要因について新井氏は、「米国ではCDN(Contents Delivery Network)を利用していたため」と説明。また、韓国の一部ではコストを抑えたDDoS攻撃として、NAVERが別サイトを用意してユーザーを誘導し、DDoS攻撃を回避した事例もあるとした。

米韓で発生した大規模DDoS攻撃のイメージ寿司屋への攻撃とWebサーバーへのDDoS攻撃手法の比較

関連情報

(増田 覚)

2009/12/8 16:56