まるで食い逃げ？ ただ乗りでクラウドを悪事に使う「フリージャッキング」とは：“凶器”になるクラウドサービス【前編】

クラウドサービスを悪用した攻撃手法に「フリージャッキング」がある。どのような攻撃手法なのか。サイバー攻撃集団Automated Libraによるフリージャッキングの攻撃キャンペーンを例に、その実態を探る。

[Alex Scroxton，TechTarget]

　南アフリカを拠点とするサイバー攻撃集団Automated Libraが、さまざまなクラウドサービスへの攻撃キャンペーン（一連の攻撃）を展開していることが分かった。この攻撃キャンペーンは「PurpleUrchin」と呼ばれる。

クラウドを“食い逃げ”する「フリージャッキング」の正体

　PurpleUrchinは「フリージャッキング」の一種だ。フリージャッキングとは、

• クラウドサービスでの無料または期間限定の試用アカウントを利用して、不正なクリプトマイニング（暗号資産採掘）をする行為

を指す。

併せて読みたいお薦め記事

クラウドを悪用する攻撃

• 「Linux」が犯罪者に狙われ始めた“なるほどの理由”
• クラウドサービスの「アカウント乗っ取り」はこうして起こる

　2022年、クラウドサービスとコンテナに関するセキュリティベンダーSysdigの研究者が、PurpleUrchinを発見した。その研究者がクラウドサービス内のコンテナと、Dockerのコンテナ共有サービス「Docker Hub」のアカウントが示した“疑わしい行為”を分析した際のことだった。

　発見当時、Sysdigは「いつから攻撃者がPurpleUrchinを実施していたのかを特定できていない」と説明。その後、セキュリティベンダーPalo Alto Networksの調査チームであるUnit 42が、コンテナのデータやアクセスログなどの250GB以上のデータと、数百件の侵害指標を分析した結果、PurpleUrchinとその背後にいる者について、さらなる事実が判明した。

　Unit 42によると、2022年11月に活動のピークを迎えたPurpleUrchinは、2019年にはすでに開始しており、2021年の後半から活発になった。Unit 42に所属するウィリアム・ガマンゾ氏とナサニエル・クイスト氏は、Automated LibraがPurpleUrchinで悪用した40件以上の暗号資産ウォレット（仮想の財布）と7件の暗号通貨を特定済みだ。

　Automated LibraはPurpleUrchinにおいて、飲食店での食い逃げのような戦術を駆使していた。複数のクラウドサービスのインフラからコンピューティングリソースを盗み、リソースがなくなるまで不正使用する戦術だ。1アカウント当たり200ドル近くにも上る請求額を支払わずに逃走したこともあった。

---

　中編は、PurpleUrchinが可能になった背景を解説する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。