はじめに
本記事は、フューチャースピリッツが提携しているドイツのサイバーセキュリティスタートアップMitigant GmbHのCTO、Kennedy Torkura氏が同社のブログに掲載した記事を、同社の承諾を取って和訳しました(一部筆者の意図が伝わるように編集しています)。
Red Canary は最近 2025 Threat Detection Report(2025年 脅威検出レポート) を公開しました。本稿では、同レポートで言及されている 最も一般的なクラウド攻撃手法 について、その分析と組織が取るべき実践的な対策を含めて解説します。
組織は、業界動向に基づいた施策を導入することで、クラウドにおけるセキュリティ態勢を強化することが多々あります。信頼性の高いサイバーセキュリティ組織は、実環境から得られたデータと偏りのない分析に基づき、こうした動向を提示しています。Red Canary は最近、Threat Detection Report 2025 を公開しました。本レポートは、エンドポイントデバイスやクラウドインフラを含む顧客環境全体で検出された 93,000件以上の脅威 を詳細に分析した結果に基づいています。
本記事では、このレポートで取り上げられている 最も一般的なクラウド攻撃手法を概観し、追加的な考察と実践的な対策について解説します。
※Red Canary Threat Detection Reportは、Real-World Adversary Statistics (実際の顧客環境において、実在する攻撃者が行った攻撃行動を、検知結果として集計・分析した統計データ)に基づいて作成されています
クラウドセキュリティ検知の概要
脅威環境が進化する中で、クラウドインフラにおける 効果的な脅威検出戦略を採用する重要性 は増しています。
CSPM(Cloud Security Posture Managementクラウドセキュリティ態勢管理)、CIEM(Cloud Infrastructure Entitlement Managementクラウドインフラ権限管理)、CNAPP(Cloud Native Application Protection Platformクラウドネイティブアプリケーション保護プラットフォーム)といったクラウドセキュリティツールは、コンプライアンス遵守や基本的なセキュリティ衛生状態の確保に寄与します。しかしながら、2025年の Red Canary レポートに示されるような攻撃が一般化する中で、実際に 脅威検出機能を実装することは不可欠 です。特に、攻撃者が有効な認証情報を使うなどステルス性の高い手法を取る場合、これらの攻撃を検出するのは容易ではありません。そのため、攻撃手法に関する 深い理解が、適切な対策を実装する上で極めて重要 です。
これらのクラウド攻撃手法を迅速に理解する有効な方法の一つが クラウド攻撃者の模擬演習(adversary emulation) です。これはセキュリティチームに実践的な理解をもたらすと同時に、実装された対策の 検証機能を強化 します。
Mitigant の Cloud Attack Emulation(CAE) は、Red Canary レポートで言及されている攻撃手法を含む様々なクラウド攻撃技術を試験できる、企業向けのクラウド攻撃模擬環境を提供します。
クラウドサービスのハイジャック
クラウドサービスのハイジャック(Cloud Service Hijacking, T1496-004) は、本レポートで上位3つに挙げられる攻撃手法の一つです。このカテゴリで最も注目されるのは LLMJacking と呼ばれる攻撃で、クラウド上の大規模言語モデル(たとえば Amazon Bedrock 提供モデル)の乗っ取りに悪用される事例が増えています。
組織による生成AI(GenAI)の採用が進む中、これらのモデルを不正ビジネスに利用するために 攻撃者がハイジャックを狙う魅力 は高まっています。Sysdig の分析によれば、侵害された組織は 1日あたり最大約46,000ドルのサービス利用料が発生する可能性 も報告されています。LLMJacking の詳細については過去の Mitigant ブログで詳述しており、攻撃デモは YouTube 上でも公開されています。
※Amazon Bedrock を標的とした LLMJacking 攻撃の概要
さらに、リソースハイジャック(Resource Hijacking, T1496) の下位手法にも注意が必要です。たとえば Compute Hijacking(T1496-001)は、EC2 インスタンスや Kubernetes 環境での仮想通貨マイニング攻撃に広く使われています。また、攻撃者は AWS SNS や SES といったクラウドメッセージングサービスをハイジャックし、その後スパム送信、フィッシング、SMS の悪用に使うケースもあります。Mitigant CAE では、これらの手法を模擬する複数の攻撃シナリオ(例:Cloudtrail の停止、呼び出しログの回避、Config Recorder の停止、GuardDuty の一時停止など)を提供しています。
※Mitigant CAE を用いた LLMJacking 攻撃のエミュレーション
防御機能突破
攻撃者は被害者のクラウド環境に侵入した後、なるべく検知されないように行動することを目指します。こうしたステルス性の追求は “防御機能妨害(Impair Defenses, T1562)” と呼ばれる手法群に分類され、具体的には Cloudtrail のバケットロギング停止などのセキュリティシステムの停止を含みます。
※Mitigant CAE は、リソースハイジャック手法をエミュレーションする複数の攻撃シナリオを提供
クラウド環境では、多くのセキュリティ制御が API 呼び出しによって操作可能であるため、防御機能妨害手法が実行されやすい という特性があります。もっとも、こうしたリスクを低減するための対策は存在しており、その一例が Amazon Web Services(AWS)セキュリティリファレンスアーキテクチャ(Security Reference Architecture:SRA) の活用です。SRA における推奨事項の一つとして、重要なセキュリティサービスを「Security tooling account」に集約し、非常に厳格なアクセス制御ガードレールの下で管理すること が挙げられます。ただし、Security tooling account では、S3 バケットのログ記録や WAF の ACL ログといった 一部のリソースレベルの設定をカバーできない場合 があります。
その結果として、セキュリティチームは、防御機能妨害手法を抑止するための 追加的な対策、とりわけ脅威検知に関する対策 を実装する必要があります。アドバーサリーエミュレーション(攻撃者の模擬)は、実装されたセキュリティ対策の有効性を 現実的な条件下でテストおよび検証すること を可能にします。Mitigant CAE には、EC2、EventBridge、CloudTrail、S3、Bedrock、Route 53 など複数の AWS サービスにまたがる 13 種類の防御機能妨害(Impair Defenses)手法を模擬する攻撃シナリオ が用意されています。
※AWS セキュリティリファレンスアーキテクチャは、Security Tooling Account の利用を推奨しています
アカウント操作
攻撃者が被害者のクラウドアカウントに侵入した後、次のステップとして 目的遂行のための権限昇格 を図ります。初回アクセスに使われた認証情報は多くの場合権限が限定的であるため、攻撃者は権限昇格を実行する必要があります。その代表的な手法が アカウント操作(Account Manipulation, T1098) です。具体的には、IAM ポリシーの変更、高権限を持つ IAM ユーザーの追加アクセスキー生成、既存の高権限ロールの悪用など、様々な方法で実行されます。
※Mitigant CAE は、防御機能妨害(Impair Defenses)手法をエミュレーションする 13 種類の攻撃シナリオを提供
これらの攻撃行為によって発生するイベントは、有効な認証情報が用いられるケースが多いため、検知が困難になることがあります。最終的にセキュリティチームには、自身の環境に即した形でこれらのイベントを理解し、脅威検知ツールやその他のクラウドセキュリティツールが、こうした攻撃行為を 効果的に検知・防止できているかを検証すること が求められます。Mitigant CAE は、複数の アカウント操作(Account Manipulation)手法を模擬 することで、人・プロセス・技術(People, Process, Technology)を含む包括的な検知・対応能力の強化 に活用できます。
※アカウント操作(Account Manipulation)手法は権限昇格を可能にする
クレデンシャルの窃取
攻撃者がクラウドアカウントへのアクセスを得ることは、攻撃成功の大前提です。これは多くの場合、認証情報取得(Credential Access, TA006) 手法によって実現されます。たとえば、誤設定された公開認証情報の収集や、デバイスからの認証情報窃取などが含まれます。しかし、有効な認証情報を窃取し 入札形式で売買するエコシステム が急速に拡大しています。この仕組みを支える主体は Initial Access Brokers(IAB) と呼ばれ、しばしば Ransomware-as-a-Service(RaaS) プロバイダーと協働することで、ランサムウェア攻撃の成功障壁を一層低くしています。
※Mitigant CAE を活用して複数の認証情報アクセス(Credential Access)手法をエミュレーションする
Initial Access Broker(IAB)によるもの以外にも、攻撃者は目的達成のために、クラウド環境内に存在する認証情報を探索 します。クラウドアプリケーションやインフラの多くの要素を自動化する必要があることから、認証情報は シークレットマネージャーを含む複数の保管場所に保存されるのが一般的 です。
有効な認証情報を入手した攻撃者は、これらの認証情報ストアにアクセスし、認証情報やその他の機密情報を収集することが可能になります。これらの手法については、過去の Mitigant のブログ記事でより詳しく解説されています。
その結果、Modify Authentication Processセキュリティチームは 適切な対策を実装するとともに、アドバーサリーエミュレーションのような手法を用いて、その有効性を検証する必要 があります。
Mitigant CAE は、Password Store からの認証情報取得(Credentials from Password Stores, T1555)、認証プロセスの改変(Modify Authentication Process)、保護されていない認証情報(Unsecured Credentials) など、複数の認証情報アクセス手法を実装した攻撃シナリオを提供します。
これらの攻撃シナリオは、Lambda、IAM、Secrets Manager、EC2、RDS など 複数の AWS サービスにまたがっており、セキュリティチームが 俊敏かつ効果的に対応できる体制の構築 を可能にします。
※Mitigant CAE によりエミュレーションされた複数の攻撃を Amazon Detective で調査する
クラウド攻撃を阻止するための CloudSecOps の強化
堅牢なセキュリティ体制を構築するには 多層防御戦略が不可欠です。しかしながら、多くの組織は予防的な対策に偏重し、検出や回復の対策には十分な注意を払っていません。このため、IAB やその他の進化する脅威が広がる状況下では、予防的対策のみでは効果が限定的であり、むしろ 安全であるという誤解を生むだけ になる可能性があります。
結果として、セキュリティ対策は 継続的な評価を通じて盲点を迅速に検出する必要 があります。その実践的な方法として 攻撃者模擬演習(adversary emulation) は、クラウドセキュリティ体制の現実的な評価に有効です。クラウドセキュリティ運用チームは、この模擬演習を活用して CSPM、CDR、CNAPP などのクラウドセキュリティツールが適切に機能しているかを検証しています。
Mitigant Cloud Attack Emulation は、組織の規模を問わず、安全に活用できる 100種類以上のクラウド攻撃シナリオ を提供しています。これらの攻撃には、Red Canary のレポートで言及されている手法も含まれており、すべて MITRE ATT&CK および MITRE ATLAS フレームワークにマッピングされています。また、AWS と Azure の両クラウド環境をカバーしています。詳細は、是非お問い合わせください。
本記事について
本記事は、Mitigant GmbH の Kennedy Aondona Torkura 氏が執筆した
“Demystifying the Most Pervasive Cloud Attack Techniques” を、著者本人の承諾を得て日本語訳し、当社ブログに掲載したものです。
当社は Mitigant GmbH が提供するセキュリティサービスの販売・提供を行っていますが、本記事は特定の製品やサービスの購入を推奨することを目的としたものではありません。
原文の著作権は Mitigant GmbH および原著者に帰属します。本記事の翻訳は正確性に最大限配慮していますが、翻訳に起因する表現や解釈の差異が生じる可能性があります。正確な情報については、必ず原文をご参照ください。
原記事:https://www.mitigant.io/en/blog/demystifying-the-most-pervasive-cloud-attack-techniques
