クラウドホッパ―作戦とは何か？ ランサムウェアだけが脅威ではない

　WannaCryやPetyaの亜種によるランサムウェア被害が収まらない。韓国では、ランサムウェア（Linux向けのErebusの被害とされている）の被害にあったプロバイダーが顧客データを復旧させるため、100万ドルの身代金支払いに応じ、ウクライナでは政府機関や金融機関などが攻撃され、国家的なパニックに陥ったという。

　世間ではランサムウェアに注目が集まりがちだが、攻撃者は決してそれだけに注力しているわけではない。PwCが6月29日に公表したレポートでは「クラウドホッパ―作戦」という世界的なサイバースパイ活動キャンペーンが解説されている。

　「APT10」という攻撃キャンペーンは、中国のグループの関与が疑われ、ファイア・アイも以前からウォッチを続けており、レポートを発表している。セキュリティ専門紙以外では取り上げられることが少ない攻撃だが、サービスプロバイダを経由するという新しい攻撃ベクトルが注目されている。新しい攻撃ベクトルということは、新しい防御手法が必要になるという点で、防御フェーズもまたひとつ進める必要があるからだ。

特徴はプロバイダーへの攻撃

　クラウドホッパ―作戦を特徴づけているのは、マネージドITサービスプロバイダーのネットワークに侵入し、彼らの顧客データを盗んだり、顧客ネットワークに侵入したりする点だ。

　どのレポートも具体的なサービス名やプロバイダー名を公表していないが、いわゆるクラウドサービスとして、アプリケーションやプラットフォームを企業に提供するプロバイダーや、会計、CRM、コミュニケーションといった業務サービスを提供するプロバイダー、アウトソーシングサービスなどが標的になっていると思われる。

　Webサイトの運用代行やIT運用の下請け会社を狙った攻撃そのものは、以前から存在しているものだが、2016年にこの攻撃が急激に増えた。その増え方、攻撃件数は、過去に例がないほど組織的かつ大規模なものだったという。しかも、2017年に入ってもツールやインフラを進化させながら攻撃が続いている。

クラウドの裏返しにあるリスク、起こるべくして起こっている

　プロバイダーへの攻撃については、いろいろは見方が可能だが、必要な業務システムや情報資産がクラウド（プロバイダー）に移行するのであれば、攻撃者の視線もそこに移動するのは自然である。以前は、イントラネットに侵入し情報を盗む必要があったが、現在は侵入先がクラウド上のサービスプロバイダーのサーバとなったと考えられる。

　クラウドは企業の情報システムの在り方を変革させている。しかし、クラウドの利点はリスクの裏返しでもある。攻撃者にしてみればプロバイダーに侵入できれば、複数の企業のイントラネットに一度に入れることにを意味するかもしれない。侵入に成功し、ネットワーク内部に橋頭保を確立できれば、攻撃者は企業の機微情報、特許や技術情報、個人情報などを外部へ送信し続けることができる。

【次ページ】実際の侵入方法は？ 防御する企業側が学ぶべきことは？