クラウドインフラを犯罪に悪用　「インフラ・ロンダリング」の登場

　インターネット上で、「インフラストラクチャ・ロンダリング（Infrastructure Laundering）」という新しいサイバー攻撃が確認された。大手クラウド事業者の正規のIPアドレスを悪用して犯罪行為を仕掛ける手法で、セキュリティ企業Silent Pushが報告した。クラウドインフラを攻撃に悪用する例は近年増加傾向にあるという。

詐欺サイトに多段階で転送

　Silent Pushが1月30日に発表したレポートによると、攻撃者はホスティング会社などを装ってクラウド事業者からIPアドレスをレンタルし、投資詐欺や偽ギャンブルサイトの運営、ラグジュアリーブランドをうたったフィッシング詐欺などを行っていたという。

　攻撃者と特定されたのは、中国に拠点を持つ「FUNNULL」というCDN（コンテンツデリバリーネットワーク）だ。Amazon Web Services（AWS）から約1200、Microsoft Azureから約200のIPアドレスを不正に取得して使用していた。

　また20万もの不正なドメイン名をプロキシとして使用し、その95％は「ドメイン生成アルゴリズム（DGA）」で生成していたという。

　FUNNULLは、ドメイン名（エイリアス）を別のドメイン名（正規名）にマッピングする「CNAME」レコードで、アクセスを多段階に転送していた。追跡しにくくすることで、セキュリティのブロックをかいくぐっていたのだ。これはユーザー側からみるとAWSやMicrosoftのIPアドレスなので、疑いなくアクセスしてしまう。

　さらにこれらのIPアドレスを数週間で入れ替え、新しいものを継続的に取得していた。多くは香港、日本、シンガポールにあったが、米国内にも約20を維持するなど地理的にも分散していた。こうした要因が不正トラフィックのブロックを困難にしていたという。