海外のセキュリティメディアにおいて、Amazon Web Services(AWS)の利用者を標的とした大規模な仮想通貨マイニング活動が報告されています。この攻撃では、事前に侵害されたIAM(Identity and Access Management)の認証情報が使われ、EC2やECSといった計算資源が不正に利用された可能性があるとされています。AWS側の監視サービスにより2025年11月2日に検知され、短時間で多数のリソースが展開される点が特徴とされています。
The Hacker News: Compromised IAM Credentials Power a Large AWS Crypto Mining Campaign
この記事のポイント
影響のあるシステム
- Amazon Web Services(AWS)
- IAM(Identity and Access Management)
- Amazon EC2(仮想サーバー)
- Amazon ECS / ECS Fargate
- AWS Lambda
- AWS SES(Simple Email Service):(フィッシング目的とみられる権限奪取が確認されています)
推奨される対策
- IAMユーザーに多要素認証(MFA)を必ず設定する
- 管理権限を持つIAMユーザーの数を最小限に抑える
- 長期間有効なアクセスキーの使用を避け、一時的な認証情報を利用する
- CloudTrailやGuardDutyを有効化し、不審な操作を常時監視する
- 想定外のCPU使用率やリソース増加がないか定期的に確認する
この記事に出てくる専門用語
- IAM(Identity and Access Management):AWS上でユーザーや権限を管理する仕組みです。誰が、どの操作をできるかを制御します。
- EC2:AWSが提供する仮想サーバーサービスで、計算処理を実行するために利用されます。
- ECS Fargate:サーバー管理を意識せずにコンテナを実行できるAWSのサービスです。
- 仮想通貨マイニング:暗号資産の取引検証を行うために大量の計算処理を行う行為で、不正に行われると高額なクラウド利用料が発生する可能性があります。
管理権限の流出が引き起こすクラウド資源の不正利用
今回報告された事案では、攻撃者があらかじめ入手したIAMの認証情報を用いてAWS環境へアクセスしたとされています。特に問題視されているのは、管理者に近い権限を持つIAMユーザーが利用されていた点です。これにより、攻撃者は環境内の構成や利用可能なリソース上限を短時間で把握し、不正な処理を展開できた可能性があるとみられています。
短時間で拡大するマイニング処理
報告によると、侵入後わずか10分以内に仮想通貨マイニングが開始されたケースも確認されています。ECSやEC2を使って多数の計算リソースが自動的に展開され、GPUインスタンスなど高性能な構成が狙われた可能性があります。利用者が気付かないうちに、クラウド利用料金が急増するリスクがある点が大きな問題といえます。
削除を妨げる巧妙な持続化手法
今回の攻撃では、インスタンスの終了を防ぐ設定が意図的に有効化されていた点も特徴とされています。これにより、被害者側が不正なリソースを削除しにくくなり、対応が遅れる可能性があります。一般的な自動対処の仕組みを回避することを目的とした手法と考えられています。
AWS側の見解と利用者に求められる対応
AWSは本件について、サービス自体の脆弱性ではなく、正規の認証情報が悪用されたケースであると説明しています。そのため、利用者側の認証管理が被害防止の鍵になると考えられます。特にMFAの導入や権限の最小化といった基本的な対策が、被害の抑止につながる可能性があります。
参考文献・記事一覧
投稿者プロフィール
- CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
最新の投稿
2026.01.27Coolifyで11件の重大欠陥が判明、自己ホスト環境に全面的なリスク
2026.01.26小さな設定ミスが大きな被害に──ThreatsDayが示す最新セキュリティ動向
2026.01.25中国系とされる攻撃グループ、通信事業者を狙いLinuxマルウェアと中継ノードを展開
News2026.01.24WhatsAppを悪用したワーム型攻撃、ブラジルで銀行情報窃取マルウェアが拡散
