悪意のある攻撃者にとって、クラウドにおけるリソースは、攻撃を行うための「武器」として価値が高まっており、クラウド利用者のリソースが悪用されるケースが増えています。

例えば、DNS やWebサーバなどの特定のサービスを機能不全に陥らせる DDoS (Distributed Denial of Service) 攻撃では、ターゲットに対して一斉に攻撃を仕掛けるリソースとして、第三者のリソースを踏み台として悪用するなどのケースがあります。

Azure Security Center では、自動的に環境内のリソースのログを収集して分析します。重要度に合わせて表示することで、対処しなければならない緊急のものがすぐに分かるようになっています。

典型的な被害の流れ

実際にAzure 環境で発生している被害の流れとしては、大きく3つのフェーズで行われています。

1.踏み台環境への不正侵入
まず、攻撃者は Azure 上の任意の仮想環境に、RDP ブルートフォース攻撃を仕掛け、侵入が可能な環境を探します。Azure 上の VM環境では、遠隔管理をするために、リモートデスクトップ (RDP) やSSHが有効化されています。攻撃者は、こうしたリモート管理を行う際の認証にて、弱いパスワードや二要素認証を利用していないなど、管理の甘い環境を狙い、総当たり攻撃(ブルートフォース)などにより認証を突破し、環境を乗っ取ります。

Azure セキュリティセンターでは、こうした不正侵入が行われていないかを検出するため、RDP 接続の認証失敗が連続して発生していないかをモニターします。攻撃者側は複数のIPアドレスをから一斉に総当たり攻撃を行うことがあり、約 80 前後の 異なるIPアドレスから、同時にRDP接続要求があるなど、不審な点が見られる場合にもアラートを上げます。

Azureセキュリティセンターのアラート例

攻撃者は、乗っ取り後に、遠隔操作を容易にするため、いくつかの管理アカウントを作成することが多くあります。こうした不審なRDP接続要求の後に、RDP接続成功が出ている場合、次に、攻撃者によって新たなアカウント作られていないかを確認します。

2.乗っ取り環境へ攻撃ツールの配置
攻撃者は、踏み台にする環境へ不正侵入した後、他環境へ DDoS攻撃を行うためのツールをインストールします。Azure セキュリティセンターでは、攻撃者が作業を行う際によく見られる以下のような操作を検出します。

(1) 不明なバイナリを %temp% フォルダにコピーする

(2) Whoami コマンドを実行して、ユーザーの権限を確認する

(3) RDP接続のネットワークレベル認証の値を変更し、乗っ取った環境が他の攻撃によって邪魔されることを防ぐ。具体的には、例えば、レジストリ “HKLM\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\RDP-Tcp” /v UserAuthentication やHKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcpを操作

(4) RDP 接続時に表示される警告を表示しない設定へ変更する。具体的には、レジストリ「HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\legalnoticecaption」や「HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\legalnoticetext」を操作

3.他環境を攻撃する
踏み台となる環境の乗っ取りが完了したら、攻撃者は、実際のDDoS 攻撃を開始する。

例えば、DNS サーバーへの DDoS 攻撃の場合 (DNS Amplificationアタック) の場合、DDoS 攻撃のターゲットのアドレスをスプーフィング(偽装)し、多くの DNS リクエストやクエリをオープンリゾルバに送付します。これにより、多くのDNS 応答が一斉にターゲットに返され、機能不全に陥ってしまいます。

DNS Amplification アタックの検出例

このような外向きの通信状況が見られる場合、Azure セキュリティチームは、顧客環境が踏み台被害を受けて他環境を攻撃していると判断し、緊急性などに応じて、顧客に連絡し、対処、調査など適切な対応を行います。

いま一度、以下のポイントを確認/検討して、踏み台となってしまう被害を未然に防ぎましょう。

被害を防ぐためには

このように、自身のAzure環境が乗っ取られ、踏み台として他の攻撃に利用されてしまうケースが後を絶ちません。「検証環境なので設定が甘い」「共有利用するためにパスワードを簡易なものにしている」など、セキュリティ設定が甘くなっている環境が多く被害を受けています。

・ Azure 環境で利用するリモート接続における認証管理を強固にする_
攻撃者はまず踏み台とするVMに不正侵入するために、さまざまなツールを利用し認証を突破しようとしています。パスワードを強固なものにし、二要素認証を有効にするなど、設定を強固にしておきましょう。

・ エンドポイントの適切な管理_
Azure環境でVMを作成した場合、リモートデスクトップとPowershellによるリモート管理のためのエンドポイントが既定で作成されます。不要なエンドポイントは削除し、利用するエンドポイントについてはパブリックポートから変更するなどの対応を取ります。設定方法は、how to set up endpoints on a classic Windows virtual machine in Azureなどを参考にしてください。

・ ネットワークセキュリティグループ (NSG) の設定を有効にする_
NSG はアクセス制御リスト (ACL) を利用してVMへの接続を、IPアドレスなどにより制限するなどの管理を行うことができます。設定を有効化し、攻撃者による攻撃の糸口を最小限に防ぎましょう。設定方法は「filter network traffic with network security groups」を参照してください。

・ Azureセキュリティセンターによるアラートを確認し対応する_
Azureセキュリティセンターを活用し、今回ご紹介したアラートが出ている際には素早く対応することが重要です。(関連記事:【第5回】Azureに接続するスマホやPC、本当に安全ですか?

著者紹介

垣内 由梨香
マイクロソフト株式会社 セキュリティ レスポンス チーム セキュリティ プログラム マネージャー

マイクロソフト株式会社に入社以来、Active Directory, Network, 証明書および暗号化を専門としたWindows エンジニアを経て現職。セキュリティの意識向上活動、インシデント対応に従事。CRYPTREC委員。