イントロダクション
Amazonの脅威インテリジェンスチームは、ロシアの外国軍事情報機関(GRU)に属するハッカーが実行する作戦を阻止したと発表しました。これらの攻撃は、顧客のクラウドインフラストラクチャを標的とし、特に西側の重要インフラ、中でもエネルギー部門に焦点を当てていました。活動は2021年に始まりましたが、この数年間で攻撃手法に顕著な変化が見られました。
攻撃手法の巧妙化
Amazon Integrated SecurityのCISOであるCJ Moses氏によると、2024年までは、長年にわたるキャンペーンでWatchGuard、Confluence、Veeamの複数の脆弱性(ゼロデイおよび既知のもの)が悪用され、主な初期侵入経路として使われていました。しかし、2025年になると、攻撃者は脆弱性の悪用から、設定が不適切な顧客のネットワークエッジデバイス(エンタープライズルーター、VPNゲートウェイ、ネットワーク管理アプライアンス、コラボレーションプラットフォーム、クラウドベースのプロジェクト管理ソリューションなど)を標的とすることに重点を移しました。Moses氏は、「設定が不適切な、公開された管理インターフェースを持つ顧客デバイスという『ローハンギングフルーツ』を標的とすることで、重要インフラネットワークへの永続的なアクセスと、標的組織のオンラインサービスへのアクセスを可能にする資格情報の窃取という戦略的目標が達成される」と説明しています。この運用テンポの変化は、GRUがゼロデイやNデイの脆弱性悪用への投資を減らしつつ、顧客の誤設定を標的とする活動に継続的に注力していることを示しています。
ロシアGRUとの関連
Amazonは、標的のパターンと、Sandworm(APT44、Seashell Blizzard)およびCurly COMradesといったGRU関連のハッカーグループの攻撃で見られるインフラの重複に基づき、これらの攻撃がロシアGRUに属するハッカーによって実行されたと高い確度で評価しています。Bitdefenderが最初に報告したCurly COMradesは、複数の専門サブクラスターが関与する広範なGRUキャンペーンにおいて、侵害後の活動を担当している可能性があるとAmazonは考えています。
攻撃の実態とAmazonの対応
Amazonは直接的な情報漏洩メカニズムを観測していませんが、デバイス侵害から資格情報の悪用までの遅延や、組織資格情報の悪用といった証拠から、受動的なパケットキャプチャとトラフィック傍受が行われた可能性を指摘しています。侵害されたデバイスは、AWS EC2インスタンス上でホストされている顧客管理のネットワークアプライアンスであり、AWSサービス自体の欠陥が悪用されたわけではないとAmazonは述べています。攻撃の発見後、Amazonは直ちに侵害されたEC2インスタンスを保護し、影響を受けた顧客に情報漏洩の通知を行い、影響を受けたベンダーや業界パートナーとインテリジェンスを共有しました。Amazonは、「この活動の発見以来、協調的な努力を通じて、活動中の脅威アクターの作戦を阻止し、この脅威活動サブクラスターが利用できる攻撃対象領域を縮小した」と述べています。
推奨される対策
Amazonは、セキュリティ強化のために、翌年に向けた一連の「緊急の優先事項」を推奨しています。
- ネットワークデバイスの監査を実施する。
- 資格情報の再利用(リプレイ)活動を監視する。
- 管理ポータルへのアクセスを継続的に監視する。
特にAWS環境においては、以下の対策が推奨されています。
- 管理インターフェースを分離する。
- セキュリティグループを制限する。
- CloudTrail、GuardDuty、VPCフローログを有効にする。
Amazonは、報告書で攻撃に関連するIPアドレスを共有していますが、これらは攻撃者がトラフィックをプロキシするために侵害した正規のサーバーである可能性があるため、文脈を考慮した調査なしにブロックしないよう警告しています。