クラウドのアプリケーションやサービスを利用すれば、ビジネスツール、情報、ソフトウェアにどこからでもアクセスでき、従業員はオフィス勤務でも、リモートワークでも、ハイブリッドワークでも生産性を発揮することができる。勤務場所は重要ではない。必要なものはすべて「クラウド」にある。
しかし、クラウドコンピューティングの使用とリモートワークへの移行から恩恵を受けているのは、従業員と企業だけではない。そうした変化は、サイバー犯罪者や悪意あるハッカーにとっても有益であることが明らかになっており、クレジットカード情報やパスワード、秘密の知的財産などの機密データを不注意なクラウドユーザーから盗む新たな機会を与えている。
悪意あるハッカーは、ネットワークに侵入してこの情報にアクセスする方法を見つけ出してきた。よく用いられたのは、フィッシング攻撃や、トロイの木馬型マルウェアをひそかに仕込む戦術だ。それらの手口は、企業ネットワークへのアクセスを試みるサイバー犯罪者が今でもよく使用している。クラウドコンピューティングは、こうした古い攻撃の新たな標的を生み出す可能性がある。
調査によると、半数以上の企業はクラウドアカウントのパスワードセキュリティが不十分で、14文字未満の脆弱なパスワードを許可しており、クラウドアカウントの44%は、別のアカウントにリンクされたパスワードの使い回しを認めているという。
クラウドアカウントの脆弱なパスワードは、攻撃者の格好の標的だ。攻撃者は、インターネットに面したログインポータルを持つアプリケーションを探して、自動化された総当たり攻撃を仕掛け、単純なパスワードやよく使われるパスワードを順番に試していき、アカウントを侵害しようとする。脆弱なパスワードは、これらの手口で突破されやすい。
個人の電子メールアドレス、オンラインショッピング、ストリーミングサービスなど、ユーザーの他のアカウントの流出パスワードを入手したサイバー犯罪者が、企業のクラウドアカウントで使えないか試す可能性もある。パスワードの使い回しは今なお一般的に行われているため、この手口によって、サイバー犯罪者にクラウドアプリケーションスイートやその他のエンタープライズサービスへアクセスされてしまうかもしれない。
サイバー犯罪者は正当なユーザー名とパスワードを使って、何らかの形でリモートワークをしている可能性が高いユーザーの正当なアカウントにアクセスしているため、サービスへのアクセスが不審に思われる可能性は低い。
たとえば、犯罪者は正当なアカウントへのアクセスを使用して、ユーザーの電子メールを乗っ取り、機密情報の窃取、マルウェアやランサムウェアのインストールを目的として、悪意あるリンクを連絡先に送信することが考えられる。そのリンクは自分が信頼する知人から届いたものなので、標的は疑いを持たないかもしれない。
だが、サイバー攻撃を仕掛けるために、仲介者をだます必要さえない場合もある。調査では、クラウドユーザー、サービス、リソースの99%が過剰な権限を提供していることが示されている。これらの権限(管理者権限など)は、ほとんどの場合、特に普通のユーザーには全く必要のないものだ。
しかし、クラウドサービスの設定に不備があり、管理者権限を付与すべきでないユーザーに付与している場合、ハッカーは単純なパスワードを足がかりとして、クラウド環境のリソースの改ざん、作成、削除ができるほか、そうしたパスワードを利用してネットワーク内を移動し、攻撃の範囲を拡大することができる。また、攻撃者が自身の作成したアカウントを隠ぺいすれば、標的となった組織は全く気づかないだろう。
