いろいろなCloud環境が登場し、その利用が高まっています。
そのなかの特に大きなものの一つはAzureでしょう。
他のCloud環境でも同じような状況ですが、Azureにおいても、いくつもの運用支援ツールが公式に用意されて提供されています。
あまたの提供されている公式ツールの中に、Azureのストレージ管理用のツールがあります。
この種のツールが脅威アクターに悪用されているケースが確認されています。
- Azure Storage Explorer
Azure Storage Explorerは、 Azure Storage のデータを視覚的に操作することができるツールです。
Azureでは何種ものOSがサポートされていることもあり、このツールもWindows、macOS、Linuxの上で利用することのできるバージョンが公開されています。 - AzCopy
AzCopy は、単純なコマンドを使用して Azure Blob Storage、Azure Files、および Azure Table Storage との間でデータをコピーするためのコマンドライン ツールです。
このツールは単独でCLIツールとして使われることもありますが、Azure Storage Explorerの実際の処理部分のツールとしても動作します。
いずれのツールも、特徴の一つに高速に大量データの持ち出し動作が可能というものがあります。
そして、これらのツールを使う場合のもう一つの重要な特徴は、侵害環境でその通信が阻害されないケースがあるということです。
Azureは多くの組織で利用されていることもあり、Azureの公式ツールの行う通信は宛先として通常信頼されていると期待でき、その通信が成り立ちやすいと考えられます。
実際に通常の業務の中でAzureを使用している場合、正規の通信と脅威アクターの実施する行為の判別は容易ではありません。
こういったことから多重恐喝を構成するデータの持ち出しを実施しやすくしてしまっているツールとなっています。
ランサムウェアグループは次々に登場します。
BianLianは2022年7月頃から活動が確認されているランサムウェアギャングです。
主なターゲットはWindows環境です。
Rhysidaは2023年頃から活動が確認されているランサムウェアギャングです。
これらのランサムウェアギャングがAzure Storage ExplorerやAzCopyを悪用している活動が確認されています。
こういった脅威の被害の抑制に何かとれる対応はあるでしょうか。
Azureを使っているとしたら、これらのような公式運用ツールの利用を取りやめる選択は容易ではないかもしれません。
無理なく取り組めそうなことは、ツールの終了時にAzureのログイン状態を解除する設定を実施しておくことくらいかもしれません。
Highway Blobbery: Data Theft using Azure Storage Explorer
https://www.modepush.com/blog/highway-blobbery-data-theft-using-azure-storage-explorer
| この記事をシェア |
|
|---|
