C
月内に
クラウドのロギングサービス(AWS CloudTrailやGoogle Cloud Loggingなど)を悪用して、攻撃者が検知を回避し、防御側の視認性を低下さ…
📌 一言でいうと
クラウドのロギングサービス(AWS CloudTrailやGoogle Cloud Loggingなど)を悪用して、攻撃者が検知を回避し、防御側の視認性を低下させる手法について分析したレポートです。攻撃者はログのルーティング変更やストレージの操作を通じて、重要なセキュリティイベントを隠蔽したり、ログを汚染させたりすることが可能です。これにより、管理者が侵害に気づくまでの時間が大幅に延びるリスクがあります。
🏢影響範囲
AWSやGoogle Cloudなどのパブリッククラウドを利用し、ロギングサービスに依存して監視を行っているすべての組織
✅該当時の対応
1. ロギング設定(CloudTrail, Log Router等)への変更権限を最小限に制限する。2. ログ設定の変更自体を監視し、アラートを通知する仕組みを構築する。3. ログを不変ストレージ(WORM)や別アカウントの隔離されたバケットに保存し、攻撃者による削除や改ざんを防止する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】クラウドロギングサービスの悪用による検知回避リスクについて
お疲れさまです。クラウド環境における防御回避手法に関する情報共有です。
■ 概要
AWS CloudTrailやGoogle Cloud Loggingなどのロギングサービスを標的にし、ログのルーティング変更やストレージ操作を通じてセキュリティ監視を無効化(Blinding)する手法が報告されています。これにより、攻撃者は検知されることなく環境内での活動を継続することが可能です。
■ 影響範囲
- AWS, Google Cloud を利用している環境
- ロギング設定の権限管理が不十分な環境
■ 対応手順
1. ロギング設定(Log Router, S3 Bucket Policy等)を変更できるIAM権限を厳格に制限し、最小権限の原則を適用してください。
2. ログ設定の変更イベント(例: AWS CloudTrailのStopLogging, UpdateTrail等)を監視し、即時アラートが飛ぶように設定してください。
3. ログの保存先にオブジェクトロック(WORM)を適用し、攻撃者によるログ削除を防止してください。
■ 参考情報
- Unit 42: Blinding the Watchmen
対応優先度: 中
対応期限: 次回セキュリティレビューまで
お疲れさまです。クラウド環境における防御回避手法に関する情報共有です。
■ 概要
AWS CloudTrailやGoogle Cloud Loggingなどのロギングサービスを標的にし、ログのルーティング変更やストレージ操作を通じてセキュリティ監視を無効化(Blinding)する手法が報告されています。これにより、攻撃者は検知されることなく環境内での活動を継続することが可能です。
■ 影響範囲
- AWS, Google Cloud を利用している環境
- ロギング設定の権限管理が不十分な環境
■ 対応手順
1. ロギング設定(Log Router, S3 Bucket Policy等)を変更できるIAM権限を厳格に制限し、最小権限の原則を適用してください。
2. ログ設定の変更イベント(例: AWS CloudTrailのStopLogging, UpdateTrail等)を監視し、即時アラートが飛ぶように設定してください。
3. ログの保存先にオブジェクトロック(WORM)を適用し、攻撃者によるログ削除を防止してください。
■ 参考情報
- Unit 42: Blinding the Watchmen
対応優先度: 中
対応期限: 次回セキュリティレビューまで
Subject: [Info] Defense Evasion via Abuse of Cloud Logging Services
Hi all,
We are sharing information regarding a technique used by attackers to evade detection by manipulating cloud logging services.
■ Overview
Attackers are targeting services like AWS CloudTrail and Google Cloud Logging to 'blind' security teams. By altering log routing or manipulating storage, they can hide their activities and bypass monitoring systems.
■ Scope
- Environments utilizing AWS and Google Cloud.
- Environments with overly permissive IAM roles for logging configurations.
■ Recommended Actions
1. Restrict IAM permissions for modifying logging configurations (e.g., Log Routers, S3 Bucket Policies) to a minimum set of administrators.
2. Implement monitoring and alerting for any changes to logging settings (e.g., StopLogging or UpdateTrail events in AWS).
3. Use immutable storage (WORM) or cross-account logging to prevent attackers from deleting or tampering with logs.
■ Reference
- Unit 42: Blinding the Watchmen
Priority: Medium
Deadline: Next security review
Hi all,
We are sharing information regarding a technique used by attackers to evade detection by manipulating cloud logging services.
■ Overview
Attackers are targeting services like AWS CloudTrail and Google Cloud Logging to 'blind' security teams. By altering log routing or manipulating storage, they can hide their activities and bypass monitoring systems.
■ Scope
- Environments utilizing AWS and Google Cloud.
- Environments with overly permissive IAM roles for logging configurations.
■ Recommended Actions
1. Restrict IAM permissions for modifying logging configurations (e.g., Log Routers, S3 Bucket Policies) to a minimum set of administrators.
2. Implement monitoring and alerting for any changes to logging settings (e.g., StopLogging or UpdateTrail events in AWS).
3. Use immutable storage (WORM) or cross-account logging to prevent attackers from deleting or tampering with logs.
■ Reference
- Unit 42: Blinding the Watchmen
Priority: Medium
Deadline: Next security review