クラウドインフラを犯罪に悪用　「インフラ・ロンダリング」の登場

難しい対策、ユーザーも注意を

　FUNNULLは主要クラウドを利用して、正当なトラフィックに攻撃を混在させた。このため「（クラウド事業者は）大量のアドレスを簡単にブロックできなくなっている」とセキュリティ企業KnowBe4のセキュリティ認知担当者Erich Kron氏はDark Readingに解説している。

　現状の対応は、犯罪に利用されているIPアドレスを特定してクラウド事業者が削除することにとどまっている。「モグラたたき」のような状態だ。

　Silent Pushは、クラウド事業者の取り組みを評価しながらも、「そのペースは、悪意ある攻撃者たちがIPを取得するプロセスのスピードに追いついていない」と指摘する。FUNNULLのような攻撃の対策には、そのCNAMEチェーンマッピング技術を逆に利用することも考えるべきだとしている。密かにレンタルされた全てのIPアドレスを特定できるはずだからだ。

　Silent Pushはあわせて、ユーザー側もアカウントの定期的なチェックや、二要素認証の導入など不正利用されないための対策をとるよう推奨している。

　主要クラウドがサイバー攻撃に利用された例はほかにもある。Infosecurity Magazineは1月、SolarWinds攻撃への関与も疑われているロシアのハッカーグループ「APT29」（別名Cozy Bear）が、Microsoft OneDrive、Dropboxなどを利用してマルウェアの配信などを行っていると伝えた。

　これら2つのサービスが選ばれた理由は以下のようなものだという。

　「攻撃開始に使用するインフラをシンプルかつ柔軟に設定でき、ユーザーと組織から信頼されているため、悪意のあるトラフィックを隠蔽し、従来のネットワークセキュリティ防御を回避することができる」

　クラウドは犯罪者にとっても魅力的なツールなのだ。