AWSのS3バケットを狙うランサムウェア：攻撃者による暗号化を防止する方法

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第43回目となる今回は、「AWSのS3バケットを狙うランサムウェア：攻撃者による暗号化を防止する方法」と題して、Amazon Web Services (AWS) のS3バケットのユーザーを標的とした新しいランサムウェア「Codefinger」の攻撃手法と、このような脅威を防ぐ方法を解説する、Daniel Miller（Varonisのテクニカルコンテンツマネージャー）のブログ記事をご紹介いたします。

Codefingerと呼ばれる新しいランサムウェアの脅威は、AWS S3バケットのユーザーを標的としています。

ランサムウェア攻撃は常に深刻ですが、この新しい形のランサムウェアでは、データが暗号化されてしまうと、支払い以外に回復の方法がありません。組織を完敗の状態に追い込むこのランサムウェアは、ランサムウェア攻撃の巧妙化を浮き彫りにしています。

Codefingerはどんなランサムウェア？

S3バケット内の各オブジェクトには、それを識別するための一意のキー（名前）があります。

Codefingerの攻撃は、AWSのSSE-C（お客様が用意したキーでのサーバー側の暗号化）を利用してデータを暗号化し、データの復号に必要となるAES-256（Advanced Encryption Standard 256-bit）鍵への支払いを要求します。

いったんデータが暗号化されてしまうと、お金を支払うこと以外に回復する方法はありません。データがAES-256で暗号化されている場合、正しい鍵がなければ復号は事実上不可能です。つまり、組織には限られた選択肢しかありません：身代金を支払うか、重要なデータへのアクセスを失うか、のどちらかです。

重要で注目すべき点は、この攻撃はAWSの脆弱性を悪用するものではなく、不正なユーザーがAWS利用者のアカウント資格情報を入手することに依存していることです。

攻撃のしくみ

•    AWSの一般公開された鍵や侵害された鍵を使用して、脅威アクターは「s3:GetObject」と「s3:PutObject」リクエストを実行するアクセス許可を持つ鍵を探します。  

•    次に、攻撃者はその場で生成したAES-256鍵を生成し、SSE-Cを使用してファイル暗号化を行うため、この鍵がファイルの復号に必要となります。この鍵はクラウドに保存されていないため、AWSでさえ回復する方法を有していません。  

•    そして、脅威アクターはファイル削除のライフサイクルポリシーを設定し、S3オブジェクトライフサイクル管理インターフェースを利用して、要求に緊急性を加えます。

•    被害を受けた各ディレクトリーには身代金要求メモが置かれ、アカウントのアクセス許可や影響を受けているファイルに変更を加えると交渉が終了すると警告されます。

脅威を防ぐ方法

AWS環境を保護し、データ損失のリスクを最小化するための最も重要なステップは、一時的な資格情報を実装し、AWSリソースを監視し、重要な情報に対してS3 Object Lockを使用し、アプリケーションで必要とされない限りSSE-Cの使用をブロックし、特定のKMS鍵やSSE-S3鍵を使用し、重要なS3データに対してバージョン管理とバックアップを行い、データアクセス時のIDを監視をすることです。これらのステップを踏むことにより、AWS環境が侵害されるリスクを軽減できます。 

Varonis for AWSで修正を自動化

AWS環境を保護し、データ損失のリスクを最小化するための最も重要なステップは、一時的な資格情報を実装し、AWSリソースを監視し、重要な情報に対してS3 Object Lockを使用し、アプリケーションで必要とされない限りSSE-Cの使用をブロックし、特定のKMS鍵やSSE-S3鍵を使用し、重要なS3データに対してバージョン管理とバックアップを行い、データアクセス時のIDを監視をすることです。これらのステップを踏むことにより、AWS環境が侵害されるリスクを軽減できます。 

S3バケットへの一般公開アクセスを自動的に遮断

AWSは、クラウドデータワークロードを迅速に作成して普及させるための柔軟性と能力を組織に提供します。しかし、複雑なアクセスポリシーと複雑な構成のため、重大なリスクや構成不備が見過ごされがちです。Varonis for AWSを使用すると、セキュリティ部門は機密性の高いデータやワークロードを自動的に検出して分類し、構成不備を修正し、最小特権を強制し、脅威を検出できるようになります。 

古いユーザー、ロール、アクセス権の削除

ランサムウェア攻撃の場合でも、攻撃者の最初のステップは、ほとんどの場合、フィッシングやパスワードスプレーのような実績のある手法を使用し、IDを侵害してアクセス権を入手することです。資格情報を取得すると、データへのアクセス権が手に入ります。IDは往々にして最弱リンクであることから、最初にとるべきステップはアクセス許可構造を解明し、適切なユーザーだけが重要なファイル、フォルダーやメールボックスにアクセス権を持つようにすることです。Varonisは、お客様のAWS環境におけるユーザー、ロール、アクセス鍵の完全なインベントリーを維持し、古いユーザー、非アクティブなアカウント、予期しない権限昇格のような攻撃を示す異常な振る舞いを特定します。このきめ細やかな管理機能は、離職対応漏れの隙間を埋め、ID関連の脅威を特定し、「爆発範囲」を縮小するのに役立ちます。

参考資料

・オリジナルブログ記事（英文）
https://www.varonis.com/blog/ransomware-targets-aws-s3-buckets

・New Amazon Ransomware Attack—‘Recovery Impossible’ Without Payment (Forbes)
https://www.forbes.com/sites/daveywinder/2025/01/15/new-amazon-ransomware-attack-recovery-impossible-without-payment/

・S3 Object Lock を使用したオブジェクトのロック（アマゾンウェブサービス）
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/object-lock.html

・当コラム第14回「ランサムウェアを防止する方法：基本編」
https://www.innovations-i.com/column/data-security/14.html

・データシート「Varonis for AWS」
https://view.highspot.com/viewer/86deffa1c6b7b444ecf6e9a6f4ff780b

ブログ著者について

Daniel Miller

Daniel MillerはVaronisのテクニカルコンテンツマネージャーです。彼はユーザーと開発者両方の声を広めることに情熱を注いでいます。新しいテクノロジーを学んでいない時には、コンサートに行ったり、新しいレシピを試したり、読書をしたりしています。

（翻訳：跡部 靖夫）