Rapid7は新たな脅威グループ「Crimson Collective」の活動を報告した。AWSクラウドを標的とし、不正アクセスや認証情報の悪用を通じて機密データを窃取し、金銭を要求するという。
Rapid7は2025年10月8日(現地時間)、新たな脅威グループ「Crimson Collective」の活動を報告した。このグループは主に「Amazon Web Services」(AWS)のクラウド環境を標的とし、企業のデータを不正に取得した上で金銭を要求する。同社は、同グループがRed Hatの「GitLab」リポジトリーから非公開データを窃取したと主張していることも確認している。Rapid7によれば、Crimson Collectiveの活動は2025年9月に複数の事例で観測され、攻撃は、AWSアクセスキーの不正取得を発端として始まった。侵入後、攻撃者は侵害したIAMアカウントの権限を利用して新規ユーザーを作成し、ポリシーを付与することで権限を拡大した。「AdministratorAccess」ポリシーを付与する行為が確認されており、これによって攻撃者はAWSリソース全体への管理権限を得ていた。 攻撃の初期段階で、Crimson Collectiveはオープンソースのツール「TruffleHog」を使用していた。TruffleHogは本来、開発者や セキュリティ 担当者がコードリポジトリー内に漏えいした認証情報を検出するための正規ツールだが、同グループはこれを悪用してAWS認証情報を探索した。権限昇格後、攻撃者はAWS環境全体の情報を詳細に調査していたことが判明した。CloudTrailログの解析によると、「Amazon Elastic Compute Cloud」(Amazon EC2 )インスタンスや「Amazon EBS」ボリュームRDSデータベース、VPC、 セキュリティ グループ、Route Tables、IAMロールなどの構成情報が幅広く収集されていた。攻撃者は「Amazon Simple Email Service」(SES)やSMSの利用上限(クオータ)を確認しており、これらを悪用すれば被害者の環境を通じて大量の電子メールやSMSを送信できる可能性があることが示唆されている。 収集した情報を基に、Crimson Collectiveはデータ窃取を実行していたことも分かった。RDS環境では「ModifyDBInstance」APIを使用してデータベースのマスターアカウントパスワードを変更し、管理者権限を取得してデータベース内容に直接アクセスしていた。続いて「CreateDBSnapshot」や「StartExportTask」APIを実行し、データベースのスナップショットを作成して「Amazon Simple Storage Service」(Amazon S3)バケットにエクスポートした。EBSボリュームに関しても同様にスナップショットを作成し、攻撃者が独自に立ち上げたEC2インスタンスに接続してデータを参照可能な状態にしていた。 その後、攻撃者はAmazon S3バケットに格納されているデータを「GetObject」APIで取得することで外部に流出させた。これらの操作は全て新たに作成されている管理者権限アカウントによって実行されており、クラウド環境全体を自在に操作できる状態にあったとみられる。 データの持ち出しが成功した場合、被害者には脅迫文が送付されている。Rapid7によると、Crimson Collectiveは被害者のAWS環境にあるSESを利用して脅迫メールを送信しており、外部のメールアドレスを使う場合もあった。このメッセージには、窃取したデータの範囲を説明する内容が含まれている。 Crimson Collectiveが複数のIPアドレスで同一環境内の複数アカウントを操作していたことも確認されている。脅迫文の文言から単独犯ではなく複数人で組織的に行動している可能性が高いとみられている。ただし、構成員の正確な人数や所在は明らかになっていない。 Rapid7はCrimson Collectiveの主な目的がデータベース、プロジェクトリポジトリー、顧客情報など価値の高いデータの収集および流出にあると分析している。こうした活動は企業の製品開発や顧客情報保護に深刻な影響を及ぼす恐れがある。 Rapid7は長期利用のアクセスキーを避け、一時的な認証情報を使ったIAMロールの利用を推奨している。最小権限の原則を適用し、異常なAPI呼び出しや不審なアカウント作成を監視する体制を整えることが求められるとした。ソースコードリポジトリーの認証情報スキャンや、重要リソースへのアクセスを特定のIPアドレスに制限する設定の導入も推奨されている。.
Rapid7は2025年10月8日(現地時間)、新たな脅威グループ「Crimson Collective」の活動を報告した。このグループは主に「Amazon Web Services」(AWS)のクラウド環境を標的とし、企業のデータを不正に取得した上で金銭を要求する。同社は、同グループがRed Hatの「GitLab」リポジトリーから非公開データを窃取したと主張していることも確認している。Rapid7によれば、Crimson Collectiveの活動は2025年9月に複数の事例で観測され、攻撃は、AWSアクセスキーの不正取得を発端として始まった。侵入後、攻撃者は侵害したIAMアカウントの権限を利用して新規ユーザーを作成し、ポリシーを付与することで権限を拡大した。「AdministratorAccess」ポリシーを付与する行為が確認されており、これによって攻撃者はAWSリソース全体への管理権限を得ていた。 攻撃の初期段階で、Crimson Collectiveはオープンソースのツール「TruffleHog」を使用していた。TruffleHogは本来、開発者やセキュリティ担当者がコードリポジトリー内に漏えいした認証情報を検出するための正規ツールだが、同グループはこれを悪用してAWS認証情報を探索した。権限昇格後、攻撃者はAWS環境全体の情報を詳細に調査していたことが判明した。CloudTrailログの解析によると、「Amazon Elastic Compute Cloud」(Amazon EC2 )インスタンスや「Amazon EBS」ボリュームRDSデータベース、VPC、セキュリティグループ、Route Tables、IAMロールなどの構成情報が幅広く収集されていた。攻撃者は「Amazon Simple Email Service」(SES)やSMSの利用上限(クオータ)を確認しており、これらを悪用すれば被害者の環境を通じて大量の電子メールやSMSを送信できる可能性があることが示唆されている。 収集した情報を基に、Crimson Collectiveはデータ窃取を実行していたことも分かった。RDS環境では「ModifyDBInstance」APIを使用してデータベースのマスターアカウントパスワードを変更し、管理者権限を取得してデータベース内容に直接アクセスしていた。続いて「CreateDBSnapshot」や「StartExportTask」APIを実行し、データベースのスナップショットを作成して「Amazon Simple Storage Service」(Amazon S3)バケットにエクスポートした。EBSボリュームに関しても同様にスナップショットを作成し、攻撃者が独自に立ち上げたEC2インスタンスに接続してデータを参照可能な状態にしていた。 その後、攻撃者はAmazon S3バケットに格納されているデータを「GetObject」APIで取得することで外部に流出させた。これらの操作は全て新たに作成されている管理者権限アカウントによって実行されており、クラウド環境全体を自在に操作できる状態にあったとみられる。 データの持ち出しが成功した場合、被害者には脅迫文が送付されている。Rapid7によると、Crimson Collectiveは被害者のAWS環境にあるSESを利用して脅迫メールを送信しており、外部のメールアドレスを使う場合もあった。このメッセージには、窃取したデータの範囲を説明する内容が含まれている。 Crimson Collectiveが複数のIPアドレスで同一環境内の複数アカウントを操作していたことも確認されている。脅迫文の文言から単独犯ではなく複数人で組織的に行動している可能性が高いとみられている。ただし、構成員の正確な人数や所在は明らかになっていない。 Rapid7はCrimson Collectiveの主な目的がデータベース、プロジェクトリポジトリー、顧客情報など価値の高いデータの収集および流出にあると分析している。こうした活動は企業の製品開発や顧客情報保護に深刻な影響を及ぼす恐れがある。 Rapid7は長期利用のアクセスキーを避け、一時的な認証情報を使ったIAMロールの利用を推奨している。最小権限の原則を適用し、異常なAPI呼び出しや不審なアカウント作成を監視する体制を整えることが求められるとした。ソースコードリポジトリーの認証情報スキャンや、重要リソースへのアクセスを特定のIPアドレスに制限する設定の導入も推奨されている。
United States Latest News, United States Headlines
Similar News:You can also read news stories similar to this one that we have collected from other news sources.
AWS Unicorn Day Tokyo 2025が開催 Amazonが掲げるスタートアップ支援2025年9月2日、日本初開催となるAmazon Web Services Japan(AWS)のスタートアップエンジニア向けイベント「AWS Unicorn Day Tokyo 2025」が開催した。
Read more »
AWS Unicorn Day Tokyo 2025が開催 Amazonが掲げるスタートアップ支援2025年9月2日、日本初開催となるAmazon Web Services Japan(AWS)のスタートアップエンジニア向けイベント「AWS Unicorn Day Tokyo 2025」が開催した。
Read more »
株式会社アンチパターン、AWSサービスデリバリープログラムにおいて「AWS Config デリバリーパートナー」「AWS WAF デリバリーパートナー」の2つのパートナー認定を取得株式会社アンチパターン、AWSサービスデリバリープログラムにおいて「AWS Config デリバリーパートナー」「AWS WAF デリバリーパートナー」の2つのパートナー認定を取得 株式会社アンチパターンのプレスリリース
Read more »
Crimson Education、羽根田卓也選手とスポンサー契約を締結 — 海外を目指す若者へエールCrimson Education、羽根田卓也選手とスポンサー契約を締結 — 海外を目指す若者へエール Crimson Educationのプレスリリース
Read more »
NCDC株式会社の内製化支援サービスが、AWS Japanの「生成AI活用支援サービスオファリング」の認定を取得NCDC株式会社の内製化支援サービスが、AWS Japanの「生成AI活用支援サービスオファリング」の認定を取得 NCDC株式会社のプレスリリース
Read more »
ソニービズネットワークス、AWS Japanの「内製化における生成 AI 活用支援サービスオファリング」に認定ソニービズネットワークス、AWS Japanの「内製化における生成 AI 活用支援サービスオファリング」に認定 ソニービズネットワークス株式会社のプレスリリース
Read more »