クラウドのセキュリティは、一般に思われているほど簡単ではありません。企業はクラウドサービスプロバイダーとセキュリティ上の責任を共有しています。しかし、その知識が不足している場合もあります。クラウドを使用する企業が遭遇する一般的な問題として、設定上の不備やデータの漏洩があります。このような問題は、クラウド環境へのマルウェア感染につながりかねません。
クラウドサービスを混乱に陥れるさまざまなタイプのマルウェアを以下に紹介します。
DDoS攻撃
ボットネットが増加傾向にあるのに加え、悪意を持った何者かが「サービスとしてのマルウェア(Malware-as-a-Service、MaaS)」を、より安価に提供しています。このような攻撃者らがセルフサービス型のクラウドに簡単にアクセスし、最大30Gbpsもの速度の大規模なDDoS攻撃が行われています。クラウドコンピューティングでは、1つのクラウド内に複数の顧客をホストするため、このような攻撃が御社のクラウド環境に影響を及ぼす可能性もあります。
ハイパーコール攻撃
攻撃者が仮想マシン(VM)を利用して、仮想マシンマネージャー(VMM)のハイパーコールハンドラーを悪用することで被害者のVMに侵入します。これにより、攻撃者はVMMの権限にアクセスし、悪質なコードの実行を可能にします。
ハイパーバイザーDoS
この攻撃は、ハイパーバイザーのリソースを高い割合で使用して、設計またはセットアップの欠陥を悪用しようとするものです。研究者たちは、顧客の仮想環境を管理するクラウドプロバイダーのハイパーバイザーを標的とするマルウェア攻撃の70%に、このマルウェアが関与していることを明らかにしています。ある調査では、Xenの脆弱性の71.2%と、KVMの脆弱性の65.8%がゲストVMによって悪用された可能性があるとしています。各社の事情により、AWSではハイパーバイザーにXenを使用し、GoogleではKVMの独自バージョンを使用しています。
コロケーション
攻撃者は、標的とするVMホストを探し、そのホスト上に自分のVMを配置します。それを、Flush/ReloadやPrime+ProbeなどのVM間のサイドチャネル攻撃で利用します。
ハイパージャック
攻撃者が(時に仮想マシンベースのルートキットを使用して)ハイパーバイザーを制御しようとする攻撃です。この攻撃に成功すると、攻撃者からマシン全体へのアクセスが可能になります。これにより、VMの挙動を変更して、一部分あるいは全体を乗っ取ることを可能にします。
中間者(MITM)攻撃
ユーザー間で交換されるメッセージを傍受あるいは改ざんする攻撃です。Ghostwriterは、中間者攻撃に悪用される脆弱性です。この脆弱性を悪用した攻撃者は、誰でも書き込めるように誤って設定されたクラウド上のファイルにアクセス可能になります。
ライブマイグレーションの悪用
1つのクラウドサービスプロバイダーから別のプロバイダーへのマイグレーション時に、クラウド管理システムが複数のマイグレーションを作成するよう誘引して、DoS攻撃を実行します。この手口が、VMエスケープ攻撃に利用されることもあります。
VMエスケープ
この攻撃は、クラウド環境内の仮想マシンに対するマルウェア攻撃の13.1%に相当します。VMエスケープ攻撃では、VM内でプログラムを実行したら、抜け出してハイパーバイザーに感染します。この攻撃は、root権限の奪取、ホストOSの制御に加え、環境全体へのフルアクセスを目的としています。
Flush/Reload
この攻撃では、メモリデュープリケーション(メモリの重複排除)として知られるメモリ最適化技術が使用されます。高度なクロス・サイドチャネルテクニックを使い、攻撃者は完全なAES暗号化キーを割り出します。
Prime+Probe
これは、メモリの代わりにキャッシュを使用するVMクロスサイドチャネル攻撃です。攻撃者は自分の情報でキャッシュを埋めます。被害者がVMを使用すると、攻撃者がこの情報を使用して、被害者がどのキャッシュラインにアクセスしたかを割り出します。この方法は、AWSの暗号化キーを復元するために使用されました。
Tripwireは、AWSおよびMicrosoft Azure向けにクラウド内の資産を保護するサービスを提供しています。当社のCloud Management Assessor Datasheet(クラウド管理監査データシート)をダウンロードして、AWSとAzureのアカウント設定の安全を確保しましょう。