Google Cloud、暗号資産を無断採掘されているインスタンスのプロセスを検出する「VM threat detection」正式リリース。ハイパーバイザレベルでメモリをスキャンし検出

今回は「Google Cloud、暗号資産を無断採掘されているインスタンスのプロセスを検出する「VM threat detection」正式リリース。ハイパーバイザレベルでメモリをスキャンし検出」についてご紹介します。

関連ワード （必要、攻撃、起因等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

Google Cloudは、暗号資産を無断採掘されているインスタンスを自動的に検出してくれる「Virtual Machine Threat Detection」（以下VM Threat Detection）を正式な機能としてリリースしたことを発表しました。

Google CloudのCompute Engineで実行されているインスタンスで、セキュリティホールなどの脆弱性を突かれて暗号資産を無断採掘されている場合、そのインスタンスのプロセスを特定し、レポートしてくれます。

これはCompute Engineが提供する仮想化ハイパーバイザのレベルでインスタンスのメモリをスキャンして検出するという技術を用いているため、インスタンスにエージェントなどをインストールする必要はなく、そのためエージェントに起因する性能劣化やメモリの圧迫、脆弱性などが発生しないというメリットがあります。

そのため、VMThreat Detectionを利用するには、Security Command Center Premiumの設定ページでVM Threat Detectionをオンにするだけ。

VMThreat Detectionはインスタンスの外部からメモリなどの状態を観察できるため、カーネルの整合性などを利用してルートキットとブートキットを検出することができると説明されており、今後はさらなる高度な攻撃の検知やライブテレメトリーのレポートなどを実現する予定とのことです。