乗っ取られた Google Cloud インスタンスの大半が暗号通貨の採掘に使われる 30
ストーリー by headless
採掘 部門より
採掘 部門より
Googleによれば、攻撃者に乗っ取られたGoogle Cloud インスタンスの大半が暗号通貨採掘に使われることになるそうだ (Google - Threat Horizons November 2021 Issue 1、 Neowin の記事、 The Guardian の記事)。
Google の 2021 年 11 月版 Threat Horizons によると、乗っ取り被害にあった直近の 50 インスタンスのうち、86 % が暗号通貨採掘に使われていたという。また、10 % がインターネット上の他のターゲットするポートスキャンを、8 % が攻撃を実行していたそうだ。このほか、6 % がマルウェア、4 % が不正コンテンツをホストし、DDoS ボットの実行やスパムの送信に使われるものもそれぞれ 2 % あったとのことだ。
Google の 2021 年 11 月版 Threat Horizons によると、乗っ取り被害にあった直近の 50 インスタンスのうち、86 % が暗号通貨採掘に使われていたという。また、10 % がインターネット上の他のターゲットするポートスキャンを、8 % が攻撃を実行していたそうだ。このほか、6 % がマルウェア、4 % が不正コンテンツをホストし、DDoS ボットの実行やスパムの送信に使われるものもそれぞれ 2 % あったとのことだ。
富岳でやったら (スコア:0)
どのくらい掘れるかな
ベンチマーク兼ねてやってみよーぜ
Re: (スコア:0)
速いだろうけど、暗号通貨採掘みたいに分散実行できる計算ではメリットなさそう
Re: (スコア:0)
エルサルバドルに富岳のデータをチラ見せして
ちょっと古いスパコンを売りつけるビジネスとかできそうな気がします
Re: (スコア:0)
51%攻撃できそう
請求が怖い (スコア:0)
従量課金はこういうのが怖くて手を出せない。
サーバー側の原因でやられたら請求されないだろうけど、自分側に非があったら・・・
Re: (スコア:0)
実際にはサーバー側にも自分側にも非がないということもよくある。未知の脆弱性を突かれたとか、DDoS喰らったとか。そういう場合でも最終責任を持つのはインスタンスを立てた自分なので、請求を免れない。こわいね。
Re: (スコア:0)
未知の脆弱性でも、基本は自分が導入したソフトにあったか(自分が悪い)、システム側で用意していたソフトにあったか(サーバーが悪い)、だよ。
Re: (スコア:0)
まあでもそれって誤請求じゃないからどっちかが「返金」して貰えるって訳じゃないよね
何かクラウドだと「本当は使われてない金だから返してもらえる」みたいなイメージが付いてるけど
めんどくせーから棒引きで手打ちにしてるってだけ
Re: (スコア:0)
それなw
「ユーザーのプログラムミスで何百万回とAPI叩いて数十万円請求がきた」ってのでもサポートに連絡したら多くの場合は請求がチャラになる。
そういう顛末が「クラウド破産」でぐぐれば山ほど出てくることに驚く
ミスとはいえ自分で実際に使ったのにサポートに相談するって常識がないというか、私にはとてもじゃないけどできない行動。借金してでも諦めて支払うよ・・・
Re: (スコア:0)
携帯電話のパケット料金なんかでもよくある話ですね
パケ死に関しては事業者側の過失を一部認めた判例があったはず
だもんで今は青天井は無くなって数万円の上限が自動で付くようになったとか
Re: (スコア:0)
俺は「誤請求だから返金してもらえる訳じゃない」「手打ちにしてる」としか言ってないけどな
実際に支払うのはただのアホだと思うけど、まあ仮想通貨を勝手に掘られた分のVPS代何千万円を
借金して払ってくれるなら、お人好しな奴隷だなという印象はある
Re: (スコア:0)
自分側に非があったら・・・
AWS破産とか一時期問題視されてましたね
喉元すぎると対策も忘れるらしい
# AWSからの攻撃もここんところ増えてきてる
Re: (スコア:0)
API key をうっかりミスでも暴露させないプラクティスが広まったのと、
漏れたのを検知して無効化する事業者側の対策も取られているからでは?
忘れているのではなく、対策が取られていることを忘れるくらい当たり前になっている。
Googleは (スコア:0)
ご自慢のAIに仮想マシンの振る舞いを監視させて、怪しい動きをしたら止めるくらいのことやってもええんやで。
Re:Googleは (スコア:1)
ご自慢のAIに仮想マシンの振る舞いを監視させて、怪しい動きをしたら止めるくらいのことやってもええんやで。
んな巫女チックなことして訴えられたらたまらんでしょう
Re: (スコア:0)
もちろん、通達や了解なしにいきなり止めるなんて暴挙をしろとは言わん。
Re:Googleは (スコア:2, おもしろおかしい)
「怪しい動きをしたら止めるくらいのことはやってもいい」
↓
「止めました」
↓
「いきなり止めるなんて暴挙をしろとは言ってない」
勘弁してください
Re: (スコア:0)
言われたことは文字通りにしか受けとれないコンピューターのプログラムに落とし込まなきゃいけないのだよ?
Re: (スコア:0)
掲示板への書き込みと、プログラムの仕様書の区別がつかないアスペかな?
Re: (スコア:0)
そのうち契約書に沿って行動する様になって、血も涙もない対応をする様になるさね。
Re: (スコア:0)
決して誤爆することなく不正部分だけを適切に止めることができるわけがねーだろ
Re: (スコア:0)
YouTubeのアカウント乗っ取りで著作権侵害の違法動画が投稿されてたり、
スラドにも投稿されているBloggerやGoogleサイトを使ったスパム誘導を今でも止められないGoogleが監視なんかに興味あるんですかね。
むしろアクセス数と広告収入が増えて嬉しがってるんじゃないんですか。
Re: (スコア:0)
てか、その辺の共有VPSではマイニングやったらBANすると規約に載ってるから、Googleのクラウドでも探せないことはないはず
やっぱね (スコア:0)
Fail2Banさん曰く
ここんとこGoogle Cloudからのアタックが増えてきてました
Re: (スコア:0)
gmail乗っ取られspamも増えた
Googleさん最近やばそう
大学のサーバー (スコア:0)
弊学のサーバーはもはやバージョンかわからないRed Hat LinuxやFreeBSDが放置されている
侵入されたところで今となってはクソスペックのサーバー
クラウドってマッチポンプか? (スコア:0)
定額のクラウドなら何も気にならないけど、従量課金のクラウドサービスでBOTからのアクセスも料金が発生しているって考えるとモヤるんだよね
Google cloudを利用してGoogleからの検索BOTを受け付けても課金されるって何なの?って思う
Re: (スコア:0)
スマホが勝手に飛ばすパケットもね。
#おまえは完全オフラインで成り立つアプリなのに何の通信してるんだよ!