ラックは12月8日、2009年のセキュリティ動向を総括する記者説明会を開催した。同説明会では、同社サイバーリスク総合研究所所長を務める新井悠氏が「クラウドにおけるセキュリティの光と闇」について考察を行ったので、ここではそれを紹介したい。

ラック サイバーリスク総合研究所所長 新井悠氏

新井氏は「クラウドは今年、IT業界最も注目を集めた技術だが、そのセキュリティについてはあまり語られなかった。クラウドには光と闇がある」と説明した。

クラウドの闇としては、攻撃者がクラウドを悪用し始めているという事実が紹介された。同氏によると、Amazon EC2を用いれば、aからzまでの26文字のアルファベットから8文字を選んで作成されたパスワードは3ドルで、また、aからZまでに数字の0から9の36文字から8文字を選んで作成されたパスワードは45ドルでクラックできてしまうという。

Amazon EC2を用いてパスワードをクラックする場合にかかるコストの試算

同氏は、「パスワードのクラックはIaaS(Infrastructure as a Service)タイプのクラウドに適している。Amazon EC2は、安価にパスワードをクラックすることが可能な"画期的な手段"と言える」と語る。実際、セキュリティベンダーがウイルス解析にAmazon EC2を用いるという動きが見られるそうだ。

また、ラックのセキュリティ監視センター・JSOCでは、Amazon EC2を提供する「Amazon Web Services」を経由した攻撃を検知しているが、2008年は50件程度だったのに対し、2009年11月の時点で250件を超えている。

「今の状態であれば、Amazon Web Servicesからの攻撃に対し手を打てるが、これ以上増えると、ボットネット並みの攻撃となる」

Amazon Web Servicesに加えて、Google App Engineを悪用したボットネットによる攻撃もすでに今年10月に発見されている。そこでは、これまでのボットネットによる攻撃で用いられていた専用サーバの代わりに、Google App Engineを介して命令の授受が行われた。

さらに同氏は、その攻撃で中国製のトロイの木馬「Grey Pigeon」が用いられたことを明らかにした。Grey Pigeonは感染したPCを遠隔操作ができる"統合型"の管理ツールだ。Grey Pigeonには無償版と有償版があり、無償版はウイルス対策ソフトに検知されてしまうが、有償版はサポートが付属しているうえ、ウイルス対策ソフトに検知されないための更新機能を備えている。

Google App Engineを悪用した攻撃の仕組み(左)とGrey Pigeonの操作画面(右)

「そのうち、犯罪のために提供されるクラウドも登場するのではないか。今は、犯罪者たちがクラウドを用いてどの程度の金銭を稼ぐことができるか、トライしている状態だ」

一方、今年7月に韓国で政府関連のサイトや大手ポータルサイトが軒並みダウンするという大規模なDDoS攻撃が行われた際、米国ではサーバがダウンするという状況は見られなかったが、それにはクラウドが寄与しているという。

同氏は、米国防総省(DoD:Department of Defense)、米国土安全保障省(DHS:Department of Homeland Security)、米Yahooなどは、アカマイのCDS(Contents Delivery Service)を利用していたため、DDoS攻撃にさらされなかったと指摘する。

CDSは、世界中のISPにキャッシュサーバを配置することで、ネットワークの負荷分散を図るシステムであり、クラウドの原型とも言ってよい。

「今年7月のDDoS攻撃において、米国ではCDNによって攻撃が分散された。これはクラウドの利用が有用だった事例であり、クラウドの"光"の部分と言える」

同氏は、ボットネットに代わってクラウドが攻撃に用いられつつある理由について、「Windows VistaやWindows 7の登場により、クライアントPCのセキュリティが堅牢になってきており、ボットネットの拡大が難しくなってきている」と説明した。

こうした状況を踏まえ、同氏はクラウドを今後安全に利用していくための対策として、クラウドサービスの提供者は利用者の目的が適切かどうかを識別することを挙げた。そして来年は、攻撃に強いクラウドのセキュリティに関する研究が進むという予測が示された。