今回は、マイクロソフト クラウド、特にMicrosoft Azureにて発生している脅威の状況(2017年第一四半期現在)をご紹介します。

不正ログオンの被害状況

クラウドを利用するユーザー数が増えるに従い、アカウントへの不正ログオン被害数も急速に増加しています。2017年1月から3月に発生したMicrosoftのクラウドサービスにおける不正ログオン数は、2016年の同時期と比較し300%も上昇しています。発生原因は、推察しやすい弱いパスワードの利用、パスワードの管理不足が多く、続いて、フィッシングによるパスワード窃盗、他サイトから漏洩したパスワード利用によるものが挙げられています。アカウントへの不正ログオンから防衛するためには、現在原因として最も高くなっている、推察しにくいパスワードを利用する、パスワードの使いまわしを防ぐ、共有利用を避け適切に管理するなどの、一般的な注意事項を徹底することが改めて重要であることがわかります。

マイクロソフト クラウドにおけるユーザーアカウント不正利用被害状況

不正なIPアドレスから要求された不正ログオン試行の全体数も、同じように昨年度と比べ44%増となりました。また、さらなる認証の安全強化策として、監査アクセス要求や管理ツールへのアクセスに使用される発信元IPアドレスを、Azureのログオン制限を使用して規制する、多要素認証を活用するといった対策も有効です(関連記事:【第4回】意外と簡単に設定できる「Azure 多要素認証」)。

マイクロソフト クラウドにおけるユーザーがアカウントへの疑わしいIPアドレスからのログオン試行平均数比較

「踏み台」にされてしまう環境が続出

攻撃者にとってクラウドにおけるリソースは、攻撃を行うための「武器」として悪用する価値のあるリソースともなっています。クラウド利用が進み不正侵入されるユーザーが増えているように、ユーザーが保持するリソースを他へ攻撃するリソースとして悪用される被害も増加しています。「テスト環境だから盗まれるようなものはない」と管理が甘くなっているAzure環境は、攻撃者にとっては、リソースを踏み台として利用する価値のある「お宝」でもあるのです。

攻撃者に乗っ取られ踏み台にされた被害環境は、外部に対して攻撃の通信を発生させます。Microsoft Azure環境にて発生している外向き攻撃通信を解析した結果、攻撃者の拠点となるサーバ(Command and Control) との通信を行っている、あるいは他環境に対してRDPブルートフォース攻撃やスパム送信を行うなど、乗っ取った環境を攻撃ツールとして利用している状況が伺えます。

Microsoft Azure 環境における外向き攻撃通信の内訳 (2017 年 1 月 - 3 月)

Microsoft Azureから外向きに発生している攻撃の通信発生状況を地域別にみると、中国、米国に次いで、日本も高い割合を占めています。まさに、国境を越えた攻撃が発生し、地理的に分離している日本も脅威にさらされている状況がわかります。

国別の国外向け攻撃の割合。日本は中国、米国に次ぐ高さ

Azure環境が不正利用されないためには、二要素認証や役割ベースの管理アカウント割り当てといったアカウント保護に加えて、リモート環境を保護すること、そしてAzureセキュリティセンターを活用することで、新たなリソースの増減、外向きの不正な通信の有無をいち早く検出し、対応することが重要です(関連記事:【第5回】Azureに接続するスマホやPC、本当に安全ですか?)。

次回はAzure Security Center で踏み台にされている状況がどのように確認できるのかをお伝えします。

今回ご紹介した脅威データは、マイクロソフトセキュリティインテリジェンスレポート第22版に掲載しています。ほかにもさまざまな脅威についてのレポートがまとめられていますので、ぜひご覧ください。

著者紹介

垣内 由梨香
マイクロソフト株式会社 セキュリティ レスポンス チーム セキュリティ プログラム マネージャー

マイクロソフト株式会社に入社以来、Active Directory, Network, 証明書および暗号化を専門としたWindows エンジニアを経て現職。セキュリティの意識向上活動、インシデント対応に従事。CRYPTREC委員。