AWS によるクラウドの大規模なセキュリティ脅威の追跡と阻止の支援

本ブログは 2024 年 8 月 5 日に公開されたBlog ”How AWS tracks the cloud’s biggest security threats and helps shut them down” を翻訳したものです。

セキュリティの脅威を事前に防ぐことができる脅威インテリジェンスには、賢さだけでなく、AWS だけが提供できるスピードと世界規模のスケールが必要です。

世界中の組織が、最も機密性の高いデータを Amazon Web Services (AWS) に託しています。AWS 上のデータを保護する方法の 1 つとして、業界最先端の脅威インテリジェンスプログラムがあります。このプログラムでは、お客様やインフラストラクチャに危害を加えたり、混乱をもたらす可能性のある、さまざまな種類の悪意のあるオンライン活動を特定し、阻止します。正確、迅速、実用的、かつスケーラブルな脅威インテリジェンスを提供することは、私たちが非常に真剣に取り組んでいる責任であり、多大なリソースを投じています。

お客様から、脅威インテリジェンスの出所、私たちが観測している脅威の種類、観測した内容にどのように対処しているか、そしてお客様がご自身を守るために必要な対策について、ますます多くの質問が寄せられています。このような質問は、最高情報セキュリティ責任者 (CISO) が主に技術的な役割から戦略的でビジネス指向の機能へと進化したことを示しています。また、CISO が効果的な脅威インテリジェンスが組織の成功とレジリエンスに不可欠であることを理解していることも示しています。このブログは、これらの質問に答えていく一連のシリーズの第一回であり、AWS の脅威インテリジェンスがお客様、パートナー、そして他の組織をどのように保護しているかの例をご紹介します。

AWS のグローバル規模でのみ実現可能な高精度な脅威インテリジェンス

AWS インフラストラクチャ全体で、私たちは毎日サイバー攻撃を検知し、阻止しています。クラウドプロバイダーの中で最大のパブリックネットワークの規模を持つ AWS は、インターネット上の特定の活動についてリアルタイムで比類のない洞察を得ています。脅威インテリジェンスがセキュリティに意味のある影響を与えるためには、インターネット全体から大量の生データを収集し、迅速に分析する必要があります。さらに、誤検知も排除しなければなりません。例えば、従業員が勤務時間外に機密データにアクセスしているのを検知した場合、脅威インテリジェンスによる検出結果が誤って内部脅威を示す可能性があります。しかし実際には、その従業員が急な業務を任され、夜通し作業をしていた可能性があります。脅威インテリジェンスの生成は非常に時間がかかり、大量の人的およびデジタルリソースを必要とします。人工知能 (AI) と機械学習は、アナリストが膨大な量のデータを選別し分析するのに役立ちます。しかし、インターネット全体から関連情報を収集・分析する能力がなければ、脅威インテリジェンスはあまり有用ではありません。独自に実用的な脅威インテリジェンスを収集できる組織であっても、グローバル規模のクラウドインフラストラクチャがなければ、迅速に対応すべき情報を有意義な規模で他の組織と共有することは困難または不可能です。

AWS のインフラストラクチャは、脅威インテリジェンスに革新をもたらします。これは、観察できるインテリジェンス シグナル（セキュリティ ツールによって生成される通知）の膨大な数により、脅威インテリジェンスの精度を大幅に向上させることができるためです。私たちはこの高い信頼性を高精度 (high fidelity) と呼んでいます。また、自動対応機能を備え洗練されたグローバル分散型のハニーポット脅威センサー ネットワークである MadPot を通じて、潜在的に有害な活動を発見し監視することで、脅威アクターの進化する攻撃手法（戦術、技術、手順： TTP ）を観察および対応する能力を常に向上させています。

当社のグローバルネットワークと MadPot のような社内ツールを使用して、リアルタイムで何千もの異なる種類のイベントシグナルを受信し分析しています。例えば、MadPot は世界中で毎日 1 億件以上の潜在的な脅威を観測しており、そのうち約 50 万件の観測された活動が悪意のあるものとして分類しています。これは、高精度の検出結果（関連性の高い情報）が有用な脅威インテリジェンスを生成し、有害で悪意のあるオンライン活動から迅速に対応して世界中のお客様を保護できることを意味します。また、当社の高精度インテリジェンスは、リアルタイムの検出結果を生成し、インテリジェントな脅威検出セキュリティサービスである Amazon GuardDuty に取り込まれます。Amazon GuardDuty は、何百万もの AWS アカウントに対する脅威を自動的に検出します。

AWS の Mithra はドメインの信頼性を評価しお客様を脅威から保護します

詳しく見てみましょう。悪意のあるドメイン (インターネット上の物理 IP アドレスに関連付けられた覚えやすい名前) の特定は、効果的な脅威インテリジェンスの実現に不可欠です。GuardDuty は、AWS のお客様がドメインとやり取りする際に、さまざまな種類の検出結果（異常な動作などの潜在的なセキュリティ問題）を生成します。各ドメインには、信頼性をランク付けするさまざまな指標から導き出されたレピュテーション スコアが割り当てられます。このランク付けにはどのような意味があるのでしょうか？それは、高品質な悪意のあるドメイン名リストを維持することは、サイバー犯罪者の行動を監視して、お客様を保護するために不可欠だからです。では、このランク付けの膨大なタスクをどのように達成するのでしょうか？人間が全体を見て理解することはおろか、使用可能な洞察を導き出すことさえ不可能なほど巨大なグラフを想像してみてください。おそらくこのグラフは存在する中で最大級のものでしょう。

Mithra をご紹介します。神話に登場する昇る太陽にちなんで名付けられた Mithra は、AWS が開発した巨大な内部ニューラルネットワークグラフモデルで、脅威インテリジェンスのためのアルゴリズムを使用します。35 億のノードと 480 億のエッジを持つ Mithra のレピュテーション スコアリング システムは、お客様が接触する悪意のあるドメインを特定し、それらを適切にランク付けするように設計されています。AWS では、1 つの AWS リージョンだけでも 1 日に最大 200 兆件もの DNS リクエストを観測しており、Mithra は 1 日に平均 182,000 の新しい悪意のあるドメインを検出しています。AWS 内でクエリされるすべてのドメイン名に対して日々レピュテーション スコアを割り当てることで、Mithra のアルゴリズムは、AWS が新たな脅威の検出においてサードパーティーへの依存を減らすのに役立ちます。これにより、サードパーティーを利用する場合よりも素早く、より良い知見を生成することが可能になります。

Mithra は、驚くべき精度と少ない誤検知で悪意のあるドメインを検出できるだけでなく、このスーパーグラフは、サードパーティの脅威インテリジェンスフィードに現れる数日前、数週間前、時には数か月前に悪意のあるドメインを予測・検出することができます。この世界最高水準の能力により、毎日何百万ものセキュリティインシデントや潜在的な脅威を検知し、対応することができます。

ドメイン名をスコアリングすることで、Mithra は以下のような用途に使用できます

• 以前は知られていなかった悪意のあるドメイン名の信頼性の高いリストは、GuardDuty のようなセキュリティサービスで使用され、お客様を保護するのに役立ちます。GuardDuty では、お客様が悪意のあるドメインをブロックし、潜在的な脅威に関するアラートを受け取ることもできます。
• サードパーティの脅威フィードを使用するサービスは、Mithra のスコアを利用して誤検出を大幅に減らすことができます。
• AWS のセキュリティアナリストは、セキュリティ調査の一環として、補足情報としてスコアを使用できます。

お客様が自身を守れるよう、高精度な脅威インテリジェンスを共有

私たちの脅威インテリジェンスは、AWS とお客様が利用するセキュリティサービスをシームレスに強化するために使用されるだけでなく、悪意のある攻撃者によって標的にされる可能性がある、または潜在的に侵害される可能性があると考えられるお客様や他の組織に対して、積極的に連絡を取って重要な情報を共有しています。脅威インテリジェンスを共有することで、受信者は私たちが提供する情報を評価し、リスクを軽減するための措置を講じ、自社のビジネスへの混乱を防ぐことができます。

例えば、当社の脅威インテリジェンスを使用して、脅威アクターによるシステムの潜在的な侵害を特定した場合や、オープンデータベースなどの悪用や攻撃に対して脆弱な誤設定されたシステムを運用していると思われる場合、世界中の組織に通知します。サイバー犯罪者は常にインターネットをスキャンして、保護されていないデータベースやその他の脆弱性を探しており、データベースが公開状態のままである時間が長くなるほど、悪意のある者に発見され悪用されるリスクが高くなります。場合によっては、脅威アクターによってサードパーティ（非顧客）組織が侵害されている可能性を示す兆候を受け取った場合、さらなる悪用を防ぐためにその組織にも通知します。これにより、インターネット全体のセキュリティ向上につながります。

多くの場合、このような問題についてお客様やその他の組織に警告すると、潜在的に侵害されている可能性があることに初めて気づきます。組織に通知した後、彼らは調査を行い、自身を保護し、組織の混乱や更なる悪用につながる可能性のあるインシデントを防ぐために必要な手順を決定することができます。私たちの通知には、組織が取るべき行動の推奨事項も含まれることが多くあります。例えば、特定のドメインのセキュリティログを確認してブロックする、緩和策を実施する、設定を変更する、フォレンジック調査を行う、最新のパッチをインストールする、またはインフラストラクチャをネットワークファイアウォールの背後に移動するなどです。これらのプロアクティブな対策により、組織はインシデントが発生した後にリアクティブに対応するのではなく、潜在的な脅威に先手を打つことができます。

時には、私たちが脅威を通知したお客様や他の組織から、別の組織を支援するのに役立つ情報が提供されることがあります。調査後、影響を受けた組織から関連するセキュリティ侵害インジケーター (IoC: indicators of compromise) が提供された場合、この情報を活用して侵害がどのように発生したかについての理解を深めることができます。この理解は、他の組織と共有できる重要な洞察につながる可能性があり、それを活用してセキュリティ体制を改善するための措置を講じることができます。これは、セキュリティ向上を目的とした協力を促進する好循環につながります。例えば、受け取った情報から、ソーシャルエンジニアリング攻撃や特定のフィッシングキャンペーンがどのように組織のセキュリティを侵害し、被害者のシステムにマルウェアをインストールする方法を理解するのに役立つ場合があります。または、侵入を実行するために使用されたゼロデイ脆弱性に関する情報を受け取ったり、リモートコード実行 (RCE) 攻撃がどのように悪意のあるコードやその他のマルウェアを実行して組織のデータを盗むために使用されたかを知ることもあります。そして、このインテリジェンスを活用してお客様や他の組織を保護するために共有することができます。このタイプのコラボレーションと協調的な対応は、組織が協力し、リソース、インテリジェンス、専門知識を共有する時により効果的になります。

AWS の高精度な脅威インテリジェンスの実践例 3 選

例 1 : 私たちは、MadPot センサーが不審な活動を検出し、異常なネットワークトラフィックに気付きました。このトラフィックは、サイバー攻撃に関連することが多いバックスキャッター (反射トラフィック) として知られるものでした。検出されたトラフィックには、特定の脅威に関連する既知の IoC が含まれていました。このネットワークトラフィックは、大手多国籍フードサービス企業の IP 空間から発信され、東ヨーロッパに流れているように見えました。これは潜在的な悪意のあるデータ流出を示唆していました。私たちの脅威インテリジェンスチームは、すぐに影響を受けた組織（AWS の顧客ではありませんでした）のセキュリティチームに連絡しました。彼らはすでに問題を認識しており、IT 環境から脅威を成功裏に排除できたと考えていました。しかし、私たちのセンサーは脅威が継続しており、解決されていないことを示していました。永続的な脅威が継続中であることが明らかでした。状況の緊急性を考慮し、私たちは即座に問題をエスカレーションしました。AWS の CISO が影響を受けた組織の CISO と深夜に電話会議をして、リアルタイムのセキュリティログを共有しました。セキュリティログには大量のデータがまだ不審に流出していることが示されおり、緊急の対応が必要であることを伝えました。影響を受けた企業の CISO は同意し、インシデント対応 (IR) チームを招集しました。私たちはそのチームと協力して脅威を阻止することに成功しました。

例 2 : 2024 年 1 月に、Volexity は Ivanti Connect Secure VPN の 2 つのゼロデイ脆弱性に関する研究を公開しました。これにより、CVE-2023-46805（認証バイパスの脆弱性）とCVE-2024-21887（複数の Web コンポーネントで発見されたコマンドインジェクションの脆弱性）が公開されました。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は 2024 年 2 月 29 日にこの問題に関するサイバーセキュリティ アドバイザリーを発表しました。これを受けて、Amazon のセキュリティチームは MadPot センサーを強化し、悪意のある攻撃者によるこれらの脆弱性を狙った攻撃試行を検出できるようにしました。MadPot センサーから得られた情報を使用して、Amazon は脆弱な Ivanti Connect Secure VPN を標的とする複数の積極的な悪用キャンペーンを特定しました。さらに、GuardDuty の共通脆弱性識別子 CVE (Common Vulnerabilities and Exposures) フィードに関連インテリジェンスを公開し、このサービスを利用するお客様の環境内でこのような活動を検出し、阻止できるようにしました。(※ CVSS の詳細については、米国国立標準技術研究所 (NIST) の脆弱性メトリクスをご覧ください。）

例 3 : 2022 年にロシアがウクライナへの侵攻を開始した頃、Amazon はロシアの脅威グループがウクライナ政府サービスに対するフィッシングキャンペーンに使用するために構築していたインフラストラクチャを事前に特定しました。私たちのインテリジェンスによる検出結果は GuardDuty に統合され、AWS のお客様を自動的に保護すると同時に、ウクライナ政府にも自己防衛のための情報を提供しました。侵攻後、Amazon はロシアのサイバー脅威アクターの IoC と攻撃手法 (TTP) を特定しました。これらは、ロシアの行動に反対する西側企業に悪影響を与える可能性のある特定のテクノロジー サプライ チェーンを標的にしているように見えました。私たちは標的となった AWS のお客様と協力して、潜在的に有害な活動を阻止し、サプライチェーンの混乱を防止するのを支援しました。

AWS は、世界で最も信頼されるクラウドインフラストラクチャを運用しており、これにより、セキュリティ状況とお客様が日々直面する脅威について独自の視点を持っています。脅威インテリジェンスを共有する取り組みが、お客様や他の組織のセキュリティ向上に役立っていることを励みに感じており、さらに多くの支援方法を見つけることに尽力しています。このシリーズの今後の投稿では、平均防御時間、内部ツールの Sonaris など、他の脅威インテリジェンスのトピックなどを取り上げる予定です。

このブログに関するフィードバックがある場合は、以下のコメントセクションにコメントを投稿してください。この投稿に関する質問がある場合は、AWS サポートにお問い合わせください。