AWS CLI、Azure CLI、GCloud CLIなどのクラウド管理コマンドは、クラウドインフラを効率的に運用するために欠かせないツールです。しかし、これらの正規ツールが攻撃者に悪用されると、IAMロールの権限で任意のクラウドリソースを操作され、データ漏洩やインフラ破壊に直結します。本記事ではMITRE ATT&CK T1059.009「Cloud Administration Command」の定義、具体的な攻撃シナリオ、検知方法、そして実践的な防御策を、セキュリティ担当者・クラウドエンジニア向けに詳しく解説します。

T1059.009 Cloud Administration Commandとは

MITRE ATT&CK T1059.009は、攻撃者がクラウドプロバイダ提供の管理コマンドやCLIツールを利用して悪意ある操作を行う手法です。MITRE ATT&CK公式のT1059.009ページでは、親テクニックT1059 Command and Scripting Interpreterのサブテクニックとして分類されています。

従来のT1059.001 PowerShellやBashなどはOS上のコマンドインタプリタが対象でしたが、T1059.009はクラウドネイティブな管理インターフェースに焦点を当てています。対象となるのはAWS CLI、Azure CLI、Azure PowerShell、Google Cloud SDK（gcloud）、AWS CloudShellなどです。

なぜ攻撃者はクラウド管理コマンドを悪用するのか

クラウド管理コマンドが攻撃者にとって魅力的な理由は以下の3点です。

正規ツールであるため検知が困難

AWS CLIやAzure CLIは運用チームが日常的に使用するツールです。攻撃者がこれらを使うと、正規の運用操作と悪意ある操作の区別が非常に困難になります。これは「Living off the Land（環境寄生型攻撃）」のクラウド版と言えます。

強力な権限へのアクセス

クラウドCLIはIAMロールやサービスプリンシパルに紐づいた権限で動作します。過剰な権限が付与されたIAMロールが漏洩した場合、攻撃者はS3バケットの全データダウンロード、EC2インスタンスの起動・停止、IAMポリシーの変更など、広範な操作を実行できます。

マルウェア不要で攻撃が完結

クラウドCLIはAPIを直接呼び出すため、マルウェアのインストールが不要です。認証情報（アクセスキーやトークン）さえ入手すれば、攻撃者のローカル環境から直接クラウドリソースを操作できてしまいます。

AWS CloudShellの悪用シナリオ

AWS CloudShellはAWSマネジメントコンソールからブラウザ上で直接CLIを実行できるサービスです。攻撃者がAWSコンソールへのアクセス権を得た場合、以下のような悪用が可能になります。

シナリオ1：コンソールセッションハイジャック

フィッシングや認証情報の窃取によりAWSコンソールにログインした攻撃者は、CloudShellを起動して追加のツールインストールなしに即座にAWS CLIコマンドを実行できます。CloudShellはセッションユーザーのIAM権限を自動的に引き継ぐため、権限設定によっては甚大な被害を引き起こします。

シナリオ2：永続化のためのバックドア作成

CloudShellからaws iam create-access-keyコマンドで新しいアクセスキーを生成し、外部に送信するケースがあります。また、aws lambda create-functionでバックドア用のLambda関数をデプロイするなど、永続的なアクセス手段を確保する手法も報告されています。

IAMロール悪用との組み合わせ

T1059.009は単独で使用されることもありますが、IAMロールの悪用と組み合わさることで被害が拡大します。

権限昇格チェーン

攻撃者は初期アクセスで得た限定的な権限から、以下のようなステップで権限を昇格させます。

1. 漏洩したアクセスキーでaws sts get-caller-identityを実行し、現在の権限を確認
2. aws iam list-attached-user-policiesでポリシーを列挙
3. aws iam attach-user-policy --policy-arn arn:aws:iam::aws:policy/AdministratorAccessで管理者権限を付与
4. 管理者権限で任意のリソースを操作

クロスアカウントロールの悪用

Azure環境ではaz account listでアクセス可能なサブスクリプションを列挙し、az role assignment createで他のサブスクリプションへの権限を取得するケースがあります。GCP環境でもgcloud projects listとgcloud projects add-iam-policy-bindingの組み合わせで同様の横展開が可能です。

実際の攻撃事例

クラウド管理コマンドを悪用する脅威アクターの活動が複数報告されています。

TeamTNTによるクラウドリソースの不正利用

TeamTNTはクラウド環境を標的としたクリプトマイニンググループです。AWSのメタデータサービス（169.254.169.254）から認証情報を窃取し、AWS CLIを使ってEC2インスタンスの大量起動やS3バケットへのアクセスを行います。

ScarletEelによるAWS環境への侵入

ScarletEelは、Kubernetes環境への初期侵入後にAWS CLIを使って認証情報を列挙し、クロスアカウントでのラテラルムーブメントを行ったことが報告されています。aws sts assume-roleを使い、複数のAWSアカウントを横断して暗号資産マイニングインフラを構築しました。

LUCR-3（Scattered Spider）によるSaaS・クラウド攻撃

LUCR-3はソーシャルエンジニアリングでIDP（Identity Provider）への初期アクセスを取得し、Azure CLIやAWS CLIを使ってクラウドリソースを操作することで知られています。特にAzure ADの設定変更やAWSのOrganizations操作を通じた大規模な情報窃取が確認されています。

検知方法

クラウド管理コマンドの悪用を検知するには、各クラウドプロバイダの監査ログを活用します。

AWS CloudTrailによる検知

AWS CloudTrailはすべてのAPI呼び出しを記録します。以下のイベントを監視することで不審な操作を検知できます。

• CreateAccessKey：新しいアクセスキーの生成（バックドア作成の兆候）
• AssumeRole：ロールの引き受け（権限昇格・ラテラルムーブメント）
• ConsoleLogin + CloudShell起動：通常と異なるIPアドレスからのログイン後のCloudShell使用
• PutBucketPolicy：S3バケットポリシーの変更（データ流出の準備）

Azure Monitorによる検知

Azure Activity LogとMicrosoft Entra ID（旧Azure AD）のサインインログを組み合わせて監視します。az role assignment createの実行、通常と異なるIPアドレスからのAzure CLI認証、サービスプリンシパルの新規作成などが重要な検知ポイントです。

GCP Audit Logsによる検知

GCP Cloud Audit Logsでは、Admin Activity ログとData Access ログを有効にし、SetIamPolicyの呼び出し、新規サービスアカウントキーの作成、通常と異なるリージョンからのAPI呼び出しを監視します。

共通の検知ルール

どのクラウドプロバイダでも有効な検知アプローチとして、以下のルールを設定することを推奨します。

• 通常の運用時間外（深夜・休日）のCLI操作のアラート
• 新しいIPアドレスやユーザーエージェントからのAPI呼び出し
• 短時間での大量API呼び出し（偵察活動の兆候）
• IAM関連操作（権限変更・キー作成）の即時アラート

緩和策と防御のベストプラクティス

最小権限のIAMポリシー設計

IAMポリシーは最小権限の原則（Principle of Least Privilege）に基づいて設計します。*ワイルドカードの使用を避け、必要なリソースとアクションのみを許可するポリシーを作成してください。AWSではIAM Access Analyzerを使って実際のアクセスパターンからポリシーを生成できます。

条件付きアクセスポリシーの適用

Azure Conditional Access PolicyやAWS IAM Conditionを使い、信頼できるIPアドレス、デバイス、時間帯のみからCLI操作を許可します。特にMFA（多要素認証）の強制は基本中の基本です。

CloudShellの利用制限

AWS CloudShellは便利ですが、攻撃者にも同様に便利です。IAMポリシーでcloudshell:*の権限を制限するか、AWS Organizations SCP（Service Control Policy）でCloudShellの利用を特定のアカウントや役割に限定することを検討してください。

認証情報の管理強化

長期的なアクセスキーの使用を避け、一時的な認証情報（STS）を使用します。アクセスキーは定期的にローテーションし、不要なキーは即座に無効化してください。JPCERT/CCも、クラウド認証情報の管理について継続的に注意喚起を行っています。

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
クラウド環境の保護と併せて、管理端末のエンドポイントセキュリティも重要です。信頼性の高いセキュリティソフトの導入を強くお勧めします。

• ESET（イーセット） — 誤検知が少なく軽量。中小企業に人気のコスパ重視セキュリティソフト ※PR
• ウイルスバスター — 日本語サポートが充実。国産ソフトで中小企業導入実績多数 ※PR
• Norton（ノートン） — 世界最大手のセキュリティベンダー。VPN機能も含む総合対策 ※PR

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ：クラウド管理コマンドの悪用を防ぐために

• T1059.009はAWS CLI・Azure CLI・GCloud CLIなど正規のクラウド管理ツールを悪用する攻撃手法であり、正規操作との区別が困難なため検知難易度が高い
• CloudShellの悪用やIAMロールとの組み合わせにより、権限昇格・ラテラルムーブメント・データ窃取に発展する
• CloudTrail・Azure Monitor・GCP Audit Logsでの監査ログ監視と、通常パターンからの逸脱検知が最も有効な対策
• 最小権限のIAMポリシー設計、条件付きアクセスポリシー、CloudShellの利用制限を組み合わせた多層防御が不可欠
• 認証情報（アクセスキー）の管理強化と定期ローテーションを徹底し、攻撃の起点となる認証情報漏洩リスクを低減する

クラウド環境のセキュリティは、従来のオンプレミスとは異なるアプローチが必要です。正規ツールが攻撃に使われるからこそ、ログの監視と権限管理が最大の防御線となります。自社のクラウド環境のIAM設定を今すぐ見直してみてください。

本記事はMITRE ATT&CK® v16に基づいています。© The MITRE Corporation. Licensed under Apache License 2.0.
※本サイトはMITRE非公式の解説サイトです

参考資料： MITRE ATT&CK T1059.009 – Cloud Administration Command / 情報セキュリティ10大脅威 2026（IPA） / JPCERT/CC / 内閣サイバーセキュリティセンター（NISC）

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.
本ページは非公式翻訳・解説です。正確な情報はMITRE公式サイトをご参照ください。

The post T1059.009 クラウド管理コマンドを悪用した攻撃手法と検知方法【MITRE ATT&CK】 appeared first on AI Security Review.