Cloudflareが“隠密インフラ”に？ マレーシア攻撃が示すサイバースパイの新戦略

Cloudflare R2：データ窃取の隠れ場所

R2はAmazon S3に似たオブジェクトストレージです。攻撃者は次の用途で使えます。

• 盗んだデータのアーカイブ保存
• マルウェアの保管
• Cloudflareドメイン経由でのファイル配布

マレーシアの事例でも、盗まれたデータをCloudflareのストレージに送る専用スクリプトが確認されました。

Cloudflare Pages：フィッシングサイト

Pagesは静的サイトを簡単に公開できるサービスです。攻撃者はこれを利用して、

• 偽のログインページ
• 文書ダウンロードを装うページ

などを作成し、Cloudflareの信頼されたネットワークの裏でフィッシングを行うことができます。

Cloudflare Workers：C2通信の中継

WorkersはCloudflareのエッジ上で動くサーバーレスコードです。これを使うと、攻撃者は

• フィッシングサイトへのリダイレクト
• コマンド＆コントロール（C2）通信の中継
• 動的な通信ルーティング

を実行できます。実際に、AsyncRATのC2サーバーがCloudflare Workers上で動作していた事例も報告されています。

Cloudflare Tunnels：攻撃インフラの隠蔽

Cloudflare Tunnelは内部サーバーを公開する際に、実際のIPアドレスを隠す仕組みです。これにより攻撃者は

• 本来のサーバー位置を隠す
• Cloudflareのサブドメインからマルウェアを配布

といった運用が可能になります。実際、Tunnelサブドメインを使ってRATを配布するマルウェアキャンペーンも確認されています。

東南アジアで広がるサイバースパイ活動

今回のマレーシアのケースは、地域全体の傾向とも一致しています。東南アジアでは、正規クラウドサービスを使って痕跡を隠すサイバー諜報活動が増えています。

マレーシアは近年、通信、エネルギー、交通などの分野でデジタルインフラが急速に拡大しており、その結果、情報収集を目的とした攻撃の標的としての価値も高まっています。

この地域では、いくつかの長期的なAPTグループが活動しています。

Mustang Panda

Mustang Pandaは少なくとも2012年から活動している中国系サイバースパイグループで、政府機関や外交機関を標的にフィッシングやカスタムマルウェアを使用することで知られています。

APT41

APT41は中国政府系と広く分析されている脅威グループで、多様なマルウェアとツールを使い長期間にわたり標的ネットワークへ侵入し続ける能力を持つとされています。

Amaranth‑Dragon

比較的新しいグループとして知られるAmaranth‑Dragonは、APT41のエコシステムと関連があると研究者に評価されています。ASEAN各国の政府機関や法執行機関を標的にした攻撃が報告されています。

なお、今回のCloudflare関連のマレーシア侵入が特定のグループに帰属すると公表されたわけではありません。ただし、地域を狙うAPTの戦術と多くの共通点を持っています。

防御側にとっての難題

最大の問題は、通信が完全に正当なものに見えることです。

CloudflareのストレージやサーバーレスエンドポイントへのHTTPS通信は、通常のウェブアクセスとほぼ区別がつきません。さらに、多くの企業がCloudflareを正規用途で利用しているため、単純にサービスをブロックすることも現実的ではありません。

そのため防御側は、ドメインの評判ではなく行動パターンを監視するセキュリティへと移行する必要があります。

注意すべき兆候の例は次の通りです。

• Cloudflareストレージへの予期しないアップロード
• 社内サーバーから新規のCloudflareサブドメインへの通信
• アーカイブ作成後の大量HTTPS POST通信
• 通常インターネット接続しないシステムからのクラウド通信
• 資格情報ダンプやデータベースアクセスと関連する外部通信

セキュリティの大きな教訓

今回の事例は、攻撃者のインフラ戦略が大きく変わっていることを示しています。

かつては怪しいサーバーを立てるのが一般的でしたが、現在は世界的に信頼されているクラウドサービスの中に潜り込む戦術が増えています。

つまり防御側にとって重要なのは、「どこへ通信しているか」だけではなく、その通信がどのような振る舞いをしているかを理解することなのです。