AWSユーザーは注意、誤って公開した環境設定ファイル(.env)が原因でサイバー攻撃

画像提供：マイナビニュース

Palo Alto Networksは8月15日(米国時間)、「Leaked Environment Variables Allow Large-Scale Extortion Operation of Cloud Environments」において、Amazon Web Services(AWS)の顧客が誤って公開した環境設定ファイル(.env)からIDおよびアクセス管理(IAM: Identity and Access Management)の認証情報を窃取するサイバー攻撃キャンペーンを発見したと報じた。このキャンペーンでは、窃取した認証情報から管理者権限を持つ新しいIAMロールを作成し、Amazon Simple Storage Service(S3)のオブジェクトを窃取して身代金を要求するという。

○攻撃手順の概要

同社は過去1年間のAWS環境におけるさまざまなインシデントについて、環境変数ファイルを誤って公開することによるインシデントが多いと分析している。このケースにおける基本的な攻撃手順は次のとおり。

攻撃者は最初に誤って公開された環境変数ファイルからIDおよびアクセス管理の認証情報(アクセスキー)を入手する。次に、この認証情報を悪用して標的のクラウド環境に侵入し、以下のサービスとユーザー情報について調査を実施する。

IDおよびアクセス管理(IAM)
Security Token Service(STS)
Simple Storage Service(S3)
Simple Email Service(SES)

調査を終えると管理者権限を持つ新しいIAMロールを作成して権限を昇格。マイニングを目的としたAmazon EC2リソースを作成する。次にSimple Storage Service(S3)へアクセスし、すべてのオブジェクトを窃取して削除。空になったバケットにメモを残して身代金を要求する。

なお、Palo Alto Networksが分析したインシデントにおいて、攻撃者はAmazon EC2リソースの作成に失敗したとされる。しかしながら、この試みは攻撃者の目的が金銭にあることを明らかにしている。

最後に悪意のあるLambda関数を作成し、環境変数ファイル(http://標的のアドレス/.env)を窃取するスクリプトを実行。自らの存在を秘匿しつつ、次の標的へ攻撃を拡大する。