IBM傘下のRed Hatを襲った大規模なデータ侵害事件は、サイバーセキュリティ業界に衝撃を与えた。その背後にいるのが、自らを「Crimson Collective」と名乗る新たな脅威グループだ。彼らはAmazon Web Services (AWS) のクラウド環境に精通し、そのサービスを巧みに悪用してデータを窃取、企業を恐喝する。本稿では、この新興グループの巧妙な攻撃手口、悪名高いハッカー集団「LAPSUS$」との関連、そしてこの事件が突きつけるサプライチェーン攻撃の深刻なリスクについて見ていきたい。

AD

Red Hatを襲ったサイバー攻撃、その衝撃的な実態

事の発端は2025年10月初旬、Crimson CollectiveがRed Hatのシステムへの侵入と大規模なデータ窃取を公に主張したことだった。彼らによれば、Red Hatのコンサルティング部門が使用していた自己管理型のGitLabインスタンスに侵入し、約570GBにも及ぶ圧縮データを盗み出したという。

その中身は、単なるソースコードに留まらない。約28,000の内部リポジトリに加え、数百にのぼる「顧客エンゲージメントレポート(CERs)」が含まれていたとされる。 CERsは、Red Hatが顧客企業のシステム構築やコンサルティングを行う際に作成する極めて機密性の高いドキュメントだ。これには、顧客のインフラ構成図、設定ファイル、そして場合によってはアクセストークンやAPIキーといった「システムの鍵」そのものが含まれている可能性がある。

Red Hat側は迅速に侵害の事実を認め、影響を受けたGitLab環境の隔離と調査開始を発表した。 同社は、このインシデントがコンサルティング部門の特定のコラボレーション環境に限定されており、製品のビルドシステムや主要なホストサービスへの影響は見られないと強調している。 しかし、攻撃者が主張するように、もしCERsに顧客の機密情報が含まれていたとすれば、被害はRed Hat一社に留まらず、その顧客である世界中の大企業へと連鎖的に波及する恐れがある。

実際に、攻撃者が公開した情報やセキュリティ研究者の分析によれば、影響を受ける可能性のある顧客リストには、Vodafone、HSBC、American Express、Walmartといった金融、通信、小売業界の巨人の名が連なっている。 この事件は、もはや単一企業のセキュリティインシデントではなく、広範囲なサプライチェーンを揺るがす重大な脅威として認識され始めているのだ。

AWSクラウドを蝕む「Crimson Collective」の攻撃手法

Crimson Collectiveは、どのようにしてRed Hatのような巨大テクノロジー企業の牙城を崩したのか。セキュリティ企業Rapid7による詳細な分析から、彼らがAWSのサービスを熟知し、それを悪用する極めて計画的な攻撃フローを実行していたことが明らかになっている。

① 初期侵入:漏洩した「鍵」を探すTruffleHog

攻撃の第一歩は、標的のAWS環境へ侵入するための「鍵」、すなわちAWSのアクセスキーを見つけ出すことから始まる。彼らはそのために「TruffleHog」というオープンソースのツールを悪用する。 TruffleHogは本来、開発者が誤ってソースコードリポジトリなどに埋め込んでしまった認証情報(シークレット)を検知するための正当なセキュリティツールだ。攻撃者はこれを逆手に取り、インターネット上に公開されている様々な場所をスキャンして、有効なAWSアクセスキーを執拗に探し出す。

キーを発見すると、GetCallerIdentityというAPIコールを実行する。 これは、そのキーがどのIAM(Identity and Access Management)ユーザーに紐づいているか、そして有効であるかを確認するための基本的な操作だ。この段階で、攻撃者は標的の環境への小さな足がかりを得るのである。

② 権限昇格:管理者権限への巧妙なステップ

初期侵入に成功しても、そのアクセスキーの権限は限定的であることが多い。そこで攻撃者は、システムの完全な掌握を目指し、権限昇格のフェーズへと移行する。

  1. 永続性の確保: まず、CreateUserCreateLoginProfile APIを使い、新たなIAMユーザーとパスワード認証をセットで作成する。 さらにCreateAccessKeyで、その新しいユーザー用のアクセスキーも生成する。 これにより、万が一最初の侵入経路が断たれても、別の入り口から再び侵入できる「バックドア」を確保する。
  2. 管理者権限の奪取: 次に、彼らの真の目的である管理者権限の奪取に取り掛かる。新しく作成したユーザーに対し、AttachUserPolicyというAPIコールを実行し、「AdministratorAccess」というAWSが事前に定義している強力な管理ポリシーをアタッチするのだ。 このポリシーは、AWSアカウント内のほぼ全てのサービスとリソースに対する完全な操作権限を付与する。これを許してしまえば、攻撃者はもはや侵入者ではなく、そのAWS環境の「王様」として振る舞うことが可能になる。

③ データ窃取:AWSサービスを悪用した計画的犯行

完全な管理者権限を手に入れたCrimson Collectiveは、計画的かつ methodical にデータ窃取を進めていく。

彼らはまず、環境内を徹底的に調査(列挙)する。 どのようなEC2インスタンス(仮想サーバー)が稼働しているか、どのようなデータがS3バケット(ストレージ)に保存されているか、そしてRDS(Relational Database Service)にどのようなデータベースが存在するかを把握する。

データベースが標的と判断されると、RDSのマスターパスワードを変更してデータベースに直接アクセスする。 そして、データベース全体のコピーである「スナップショット」を作成し、そのスナップショットをS3バケットにエクスポートする。 最終的に、S3バケットからAPIコールを利用して、大量のデータを外部の攻撃者のサーバーへと転送(exfiltrate)する。

この一連のフローの巧妙さは、攻撃のほぼ全てがAWSの正規のAPI機能を使って行われる点にある。まるで正規の管理者が日常的なメンテナンス作業を行っているかのように見えるため、異常検知システムをすり抜けてしまう可能性がある。AWSの利便性を逆手に取った、まさにクラウドネイティブな攻撃手法と言えるだろう。

AD

脅威の連携とエスカレーション:LAPSUS$の影

Red Hatへの攻撃が明らかになった後、事態はさらに複雑な様相を呈する。Crimson Collectiveは、悪名高いハッカー集団ShinyHuntersと関連があるとされる「Scattered Lapsus$ Hunters」との連携を発表したのだ。 彼らは新たに立ち上げたデータリークサイトでRed Hatを名指しし、「数テラバイトに及ぶ最も機密性の高い知的財産」を公開すると脅迫。 支払いに応じればRed Hatの顧客を直接攻撃しないと持ちかけるなど、恐喝の手口をより組織的かつ悪質にエスカレートさせている。

この連携の裏には、さらに不穏な影が見え隠れする。セキュリティ研究者のケビン・ボーモント氏らの調査により、今回の攻撃と、かつて世界中の大企業を震撼させたハッカー集団「LAPSUS$」との間に、無視できない共通点が複数指摘されている。

  • 技術的痕跡の一致: 攻撃に使われたファイルの命名規則や、HTMLファイルに残されたコメントの構造などに、過去のLAPSUS$の犯行との類似点が見られる。
  • Telegramハンドルの関連: Crimson Collectiveが使用しているとされるTelegramハンドル「Miku」が、LAPSUS$グループの一員として英国で逮捕・起訴されたティーンエイジャー、Thalha Jubair氏のものと一致する可能性が浮上している。

これらの状況証拠は、Crimson CollectiveがLAPSUS$の残党、あるいはその影響を強く受けた後継組織である可能性を示唆している。LAPSUS$は金銭目的だけでなく、注目を集めるための愉快犯的な側面も持ち合わせていた。二つのグループの連携は、サイバー犯罪がより協調的で、予測不能な危険性をはらむ新たな段階に入ったことを物語っているのかもしれない。

被害は顧客へ:サプライチェーン攻撃の深刻なリスク

今回の事件が最も浮き彫りにしたのは、サプライチェーン攻撃の恐ろしさだ。攻撃者は直接の標的であるRed Hatだけでなく、そのサプライチェーン(供給網)に連なる数多くの顧客企業にまで被害を拡大させようとしている。

流出したとされるCERsには、顧客企業の内部情報が満載である可能性が高い。そして、さらに深刻なのは、金融機関や航空会社のものとされる「.pfx」証明書ファイルの流出が指摘されている点だ。 .pfxファイルには、ウェブサイトの正当性を証明するための秘密鍵が含まれている。これが悪用されれば、偽のウェブサイトを本物と誤認させて情報を盗む「中間者攻撃」や、正規のドメインになりすます「ドメインスプーフィング」などが可能になり、企業の信頼性を根幹から揺るがしかねない。

Red Hatコンサルティングのような、多くの企業のシステムに深く関与する信頼されたパートナーが侵害されることのインパクトは計り知れない。顧客企業は、自社のセキュリティ対策が万全であっても、信頼する委託先を踏み台にされて攻撃を受けるリスクに常に晒されている。我々が直面しているのは、もはや自社だけを守ればよいという時代ではないという厳しい現実だ。

AD

我々は何をすべきか:専門家の見解と推奨される対策

この巧妙化するクラウドへの攻撃に対し、企業や開発者はどう立ち向かうべきだろうか。

AWS自身は、今回の事件を受けて「短期的で、最小権限のクレデンシャルを使用し、制限的なIAMポリシーを実装すること」を顧客に推奨している。 これは、万が一アクセスキーが漏洩しても、そのキーでできることを最小限に抑え、被害を局所化するための基本的ながら最も重要な対策だ。

さらに、専門家は以下のような具体的な対策を推奨している。

  1. シークレットのスキャン: TruffleHogのようなツールを防御側でも積極的に活用し、自社のコードリポジトリやストレージに認証情報が不用意に公開されていないか、継続的にスキャンする体制を構築する。
  2. CloudTrailログの監視: AWSの操作ログであるCloudTrailを常時監視し、不審なIAMユーザーの作成、権限昇格、大量のデータアクセスといった異常なアクティビティを迅速に検知する仕組みを導入する。
  3. 認証情報のローテーション: 今回の事件で影響を受けた可能性のある企業は、直ちに証明書やAPIキー、パスワードといった全ての認証情報を更新(ローテーション)し、侵害された可能性のある認証情報を無効化する必要がある。

Crimson Collectiveによる一連の事件は、クラウドコンピューティングの普及がもたらした光と影を明確に映し出している。利便性と効率性の裏側で、新たな攻撃ベクトルが生まれ、その手口は日々巧妙化している。この現実を直視し、ゼロトラストの考えに基づき、自社の環境だけでなく、サプライチェーン全体のリスクを評価し、継続的な監視と対策を講じていくことこそが、これからの時代に求められるサイバーセキュリティの姿ではないだろうか。


Sources