Forbes本体署名記事より。
AWSの設定不備によりロシアのサイバー攻撃を受けやすい環境にAWSが警告(システムの問題ではなくてユーザの設定の問題:)している件:
ロシアの攻撃は、AWSインフラ上でホストされるデバイスの「設定ミス」が標的――脆弱性は狙いではない
ロシア国家支援のサイバー攻撃は「重要インフラを標的とした攻撃における大きな進化」を示すものだと、CJ・モーゼスが12月15日の分析で述べた。モーゼスは、かつて米連邦捜査局(FBI)サイバー部門で、コンピューターおよびネットワーク侵入分析の技術リードを務め、現在はAmazon Integrated Security(アマゾン・インテグレーテッド・セキュリティ)の最高情報セキュリティ責任者(CISO)を務める人物だ。
AWS顧客の「設定不備」を初期侵入経路にすることで、露見の機会を減らす
なぜ「大きな進化」なのか。モーゼスの説明によれば、今やロシアの攻撃は脆弱性の悪用が支配的ではなく、むしろ「戦術的に方向転換し、顧客のネットワーク・エッジ・デバイスの設定不備のようなものが、主要な初期侵入経路になりました」という。
どれだけパッチを適用しても、デバイスの設定を誤ったままにしていれば、玄関には高価で頑丈な鍵を付けつつ、二階の窓を開け放ち、しかも梯子まで置いているようなものだ。
攻撃者、とりわけ最も高度な者たち――そしてこのカテゴリーに入るロシア国家支援の高度持続的脅威(APT)グループ――は、露見を減らすため、脆弱性の悪用よりも「取りやすい果実」を優先して狙う。結局のところ、モーゼスが述べたように、「この戦術的適応により、同じような成果、すなわち認証情報の収集や、被害組織のオンラインサービスおよびインフラへの横展開が可能になります」ということだ。
ロシアのハッキング活動は少なくとも2021年から継続
モーゼスによれば、このロシアのハッキング作戦は少なくとも2021年以降継続しており、グローバルなインフラを標的としつつも、特に北米と欧州の西側エネルギー部門に焦点を当てている。
モーゼスは、攻撃者がAWS上でホストされているインフラを侵害していることが観測されていると語る。さらに、アマゾンのテレメトリー(遠隔測定)は「AWS上でホストされている顧客のネットワーク・エッジ・デバイスに対する協調的な作戦」を示していると付け加えた。問題はAWS側に固有の弱点があるというより、顧客側で設定を誤ったデバイスにあるという。
Black Duck(ブラックダック)のシニア・サイバーセキュリティ・ソリューション・アーキテクトであるクリッサ・コンスタンティンは、「この傾向は実用性に駆動されています。設定に不備のあるネットワーク・エッジ・デバイス、露出した管理インターフェース、そして過度に緩いIDは、低コストで信頼できる侵入口となり、長期間にわたり検知されないまま残り得ます」と警告した。このアプローチは意図的であり、ゼロデイから離れることで攻撃者の能力が低下したことを示すものでは決してない。「設定不備の悪用は正当な管理者活動に違和感なく溶け込み、検知と帰属の特定を大幅に難しくします」とコンスタンティンは結論づけた。
引用おわり。
ご説ごもっともなのだけどエンジニアとて(当然)完璧ではないのだから、Amazonは遅れているかもしれないが(失礼)、AI等を活用したエンジニア負担軽減システム(手段は問わず)のオプションぐらい提供しても宜しいのでは?あるいはペネトレーションテストをシミュレーション(或いは外部接続前に)テストするとか・・・まあそんなど素人でも思いつく様な施策は既に対応・検討済なのでしょうけれども。
この記事が興味深いのはサイバー攻撃元をロシア(悪の枢軸の一つ)と具体的に記載している事で、民間企業とは言え、この情報は軽んじるべきでは無い様な気がします(サーバ管理って大変、仮想マシンで維持はAWS任せであっても)。
本記事によるとロシアのハッキングは2021年とあるからウクライナ侵攻以前から活動が認められる訳で物理戦争には弱いが認知戦にはソ連時代の膨大な蓄積(考えてみればプーチンもその生産物(単なるKGBのエージェント:)に過ぎない訳で自分の得意分野に力点を置くのは誰しも同じ(バラク・フセイン・オバマが大統領時代に特殊部隊を愛用したとか)であるから、もやは基幹インフラとなりつつあるサービス提供者の基盤を提供するプラットフォーマーにとっては「いまそこにある危機」なのでしょう(大変ですな)。
