Google Cloud、暗号資産を無断採掘されているインスタンスのプロセスを検出する「VM threat detection」正式リリース。ハイパーバイザレベルでメモリをスキャンし検出

Google Cloudは、暗号資産を無断採掘されているインスタンスを自動的に検出してくれる「Virtual Machine Threat Detection」(以下VM Threat Detection)を正式な機能としてリリースしたことを発表しました

Google CloudのCompute Engineで実行されているインスタンスで、セキュリティホールなどの脆弱性を突かれて暗号資産を無断採掘されている場合、そのインスタンスのプロセスを特定し、レポートしてくれます。

これはCompute Engineが提供する仮想化ハイパーバイザのレベルでインスタンスのメモリをスキャンして検出するという技術を用いているため、インスタンスにエージェントなどをインストールする必要はなく、そのためエージェントに起因する性能劣化やメモリの圧迫、脆弱性などが発生しないというメリットがあります。

そのため、VMThreat Detectionを利用するには、Security Command Center Premiumの設定ページでVM Threat Detectionをオンにするだけ。

VMThreat Detectionはインスタンスの外部からメモリなどの状態を観察できるため、カーネルの整合性などを利用してルートキットとブートキットを検出することができると説明されており、今後はさらなる高度な攻撃の検知やライブテレメトリーのレポートなどを実現する予定とのことです。