🔥 この記事の詳細
2026-05-19 更新
C
月内に

攻撃者がCloudflareのストレージノードを悪用して、侵害したネットワークからデータを静かに窃取する手法

脆弱性🌐 英語ソース
📅 2026-05-19📰 freebuf
📌 一言でいうと
攻撃者がCloudflareのストレージノードを悪用して、侵害したネットワークからデータを静かに窃取する手法が確認されました。この攻撃は主にマレーシアの政府機関や民間企業を標的としており、カスタムPythonスクリプトや独自のC#ビーコンを用いて検知を回避しています。信頼されたクラウドサービスのトラフィックにデータを紛れ込ませることで、従来の監視をすり抜ける高度な手法が用いられています。
🔍該当判定
  • Cloudflareのストレージサービス(R2など)を自社で利用している
  • 社内ネットワークからCloudflareのドメインへの通信を制限なく許可している
  • Microsoft Azure上の仮想マシン(VM)を運用し、外部からのアクセスを許可している
  • Windowsのドメインコントローラー(Active Directory)を運用している
上記いずれにも該当しない → 静観でOK
該当時の対応
信頼されたクラウドサービス(Cloudflare等)への異常なデータ転送量がないか監視を強化すること。また、ドメインコントローラーなどの重要サーバーにおける不審なプロセスの実行や、未知のビーコン通信の有無を確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Cloudflareストレージを悪用したデータ窃取手法について

お疲れさまです。Cloudflareのインフラを悪用した高度なデータ窃取活動に関する情報共有です。

■ 概要
攻撃者がCloudflareのストレージノードをデータ転送先として利用し、正規のクラウドトラフィックに偽装してデータを窃取する手法が確認されました。カスタムのC#ビーコンおよびPythonスクリプトが使用されており、検知を回避する設計となっています。

■ 影響範囲
- Cloudflare等の信頼されたクラウドサービスへのアウトバウンド通信を制限なく許可している環境
- マレーシア政府機関等の標的組織(ただし、手法は他でも転用される可能性が高い)

■ 対応手順
1. Cloudflare等のストレージサービス向け通信において、不自然なアップロード量や頻度がないかログを確認する。
2. ドメインコントローラー等の特権サーバーにおける不審なPython/C#プロセスの動作を監視する。
3. ネットワーク境界でのドメインベースのフィルタリングだけでなく、トラフィックパターンの分析を検討する。

■ 参考情報
- OASIS Security / Cyber Security News 報告

対応優先度: 中
対応期限: 継続的な監視を推奨
Subject: [Intel] Data Exfiltration via Cloudflare Storage Nodes

Dear team,

We are sharing intelligence regarding a sophisticated data exfiltration technique leveraging Cloudflare infrastructure.

■ Overview
Threat actors are using Cloudflare-hosted storage nodes as endpoints for stolen data. By blending exfiltration traffic with legitimate cloud service activity, they bypass traditional network security alerts. The attack chain involves custom Python scripts and a proprietary C# beacon.

■ Scope
- Environments allowing unrestricted outbound traffic to trusted cloud services (e.g., Cloudflare).
- Organizations utilizing similar infrastructure patterns.

■ Recommended Actions
1. Audit outbound traffic logs for anomalous upload volumes to Cloudflare storage endpoints.
2. Monitor privileged servers (e.g., Domain Controllers) for unauthorized Python or C# process execution.
3. Implement behavioral analysis for outbound traffic rather than relying solely on domain whitelisting.

■ Reference
- OASIS Security / Cyber Security News report

Priority: Medium
Deadline: Ongoing monitoring
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-19 のまとめ🔍 記事を検索