「ログを取っているから安心」が危ない 攻撃者はクラウドログを“監視ツール”に変える：痕跡隠しから内部監視まで悪用の実態

ログは攻撃の痕跡を追うための重要な証拠という常識が揺らぎつつある。Palo Alto Networksは、AWSとGoogle Cloudのログ管理機能を悪用する複数の攻撃手法を分析した。攻撃者はログを隠すだけでなく、意外な方法で被害環境を監視し続けられるという。

[＠IT]

　Palo Alto Networksは2026年6月9日（現地時間）、「Amazon Web Services」（AWS）と「Google Cloud」のログ管理機能を悪用する攻撃手法を分析した調査結果を公表した。

　攻撃者はログ記録を停止して痕跡を隠すだけでなく、ログ転送設定を改変して被害環境の情報を継続的に収集できる可能性があるという。同社は、クラウド環境におけるログ基盤そのものが重要な攻撃対象になりつつあると指摘し、防御策を示した。

ログは「証拠」だけでなく「情報源」にもなる

　クラウドログサービスは、クラウド環境で発生した操作やイベントを記録し、運用管理やセキュリティ監視、インシデント調査などに活用される重要な基盤だ。一方で、組織内の活動履歴が集約されることから、攻撃者にとっても価値の高い標的となる。

　同社は今回、「AWS CloudTrail」と「Google Cloud Logging」を対象に、ログ基盤を悪用する手法を分析した。その結果、攻撃手法を大きく「監視回避」と「継続的可視化」の2つに分類できると説明している。

　監視回避は、ログの取得や保存を妨害することで攻撃の痕跡を隠し、検知や調査を困難にすることを目的とした手法だ。同社は具体例として、「ログ記録の停止」「ログ保存先の削除」「ログ転送設定の削除」「暗号鍵設定の悪用」「保存済みログの改変」の5つを挙げている。

　例えばAWSでは、CloudTrailの設定変更によってログ記録を停止できる他、ログの保存先である「Amazon S3バケット」を削除することで新たなログの保存を妨害できる可能性がある。Google Cloudでも、ログ転送設定であるシンクやログバケットに対する操作によって同様の影響を与えられるという。

　また、ログ保存時に利用する暗号鍵の設定を変更し、その後にアクセス権限を削除することで、ログの記録や参照を妨害する手法も紹介した。さらに、ストレージに保存されたログデータを改変し、分析担当者が改ざん後の情報を参照してしまうリスクについても指摘している。

　一方の継続的可視化は、被害環境で生成されるログを攻撃者側に転送し、内部の活動状況を継続的に監視する手法だ。

　攻撃者は新たなログ転送設定を作成したり、既存設定の転送先を変更したりすることで、被害組織のログを自らが管理する環境に送信できる可能性がある。AWSでは攻撃者管理下のS3バケットを保存先とするトレイルの作成、Google Cloudでは攻撃者側の宛先へログを出力するシンクの作成や設定変更が該当する。

　こうした手法が成功すると、攻撃者は仮想マシンの展開状況や権限設定の変更、機密情報へのアクセス状況などを長期間にわたって把握できる可能性がある。ログは本来、防御側がシステムの状態を把握するための仕組みだが、攻撃者にとっても有用な情報源になり得るというわけだ。

　同社は対策として、CloudTrailやCloud Loggingなどログ管理機能に対する設定変更権限を厳格に制御することを推奨した。AWSではCloudTrailの設定変更権限や関連するS3バケットの管理権限を限定するとともに、CloudTrailサービス以外からの書き込みを制限すべきだとしている。

　また、AWSには管理イベントを90日間保持する「CloudTrail Event History」があり、この履歴は変更や削除ができない。Google Cloudにも削除や変更ができない必須ログバケットが用意されている。ただし、組織が独自に構築したログ保存環境や外部連携用のログ基盤については、今回紹介された手法の影響を受ける可能性があるという。

　同社は、クラウドログ基盤はセキュリティ監視と運用管理を支える重要な記録源であり、その保全は防御体制の根幹に関わる課題だと指摘する。攻撃者によるログ基盤の悪用手法を理解し、権限管理や設定監視を強化することが、クラウド環境の防御力向上につながるとしている。