Microsoftは6日(現地時間)、自社パブリッククラウドのセキュリティ脅威の防止と検出・対応を行うAzure Security Centerが、DDos攻撃を検出する仕組みを公式ブログで解説した。DDoS(Distributed Denial of Service attack: 分散型サービス妨害攻撃)は、サイバー攻撃者が大量のマシンを不正利用して一斉でアクセスし、サーバーリソースの枯渇を狙うのが一般的な攻撃手法である。

一連の警告はAzure Security Centerで確認できる

上図はAzure Security CenterがRDPに対するブルートフォース(総当たり)攻撃を検知したものだが、Microsoftはユニーク(一意)なIPアドレスが攻撃元であり、ブルートフォース攻撃成功後、攻撃者が3つの新しいユーザーアカウントを作成し、すべて同じパスワードを使用していることを確認した。

サイバー攻撃者のログ。すべてのパスワードに「Iman321」を用いている

続いてサイバー攻撃者はユーザーアカウントの一時フォルダーに未知のバイナリーファイル「wrsd.exe」を実行して何らかのデータをダウンロード。whoamiコマンドでドメインとユーザーアカウントを確認してから、NLA(ネットワークレベル認証)をバイパスするレジストリエントリーを加えている。その結果、攻撃した仮想マシンにRDPクライアントからログイン可能となった。

サイバー攻撃者の実行したコマンドや動作はこのようにすべて記録される

Azure Security Centerはサイバー攻撃者侵入後、1時間以内に自社の脅威情報を使用して、攻撃者が利用しているサブスクリプションがマルウェアのダウンロード元となるシャドーサーバーとして使用される可能性があること検知。Microsoftの担当者は顧客へ連絡し、対応と改善策を講じたという。

仮想マシンをシャドーサーバーとして利用している状況を検知したログ

Microsoftはサイバー攻撃の一例を示しつつ、仮想マシンに対するパスワードポリシーの強化やNSGs(Network Security Groups)を使ったエンドポイントの適用、ネットワークセキュリティグループを有効化、そしてVPNの使用を推奨している。

阿久津良和(Cactus)