headless 曰く、

Cado Security が AWS Lambda をターゲットにした初のマルウェア「Denonia」の発見を公表して話題になったが、当初 AWS では Denonia がマルウェアの定義に合致しないと主張する声明を出していたそうだ (VentureBeat の記事)。

Denonia は Go 言語で書かれており、暗号通貨採掘ソフトウェア XMRig のカスタマイズ版を含んでいるという。名称はマルウェアが通信するサーバーのドメイン名から取られたものだ。AWS や Lambda の脆弱性を突いたものではなく、別途取得したアカウント情報などを用いて手動でデプロイされたとみられる。

当初 AWS が出した声明では脆弱性を悪用した不正アクセスを行わない Denonia はマルウェアですらなく、「Lambda 初のマルウェア」という報道は事実を歪めたものだと主張。Lambda 上ではない標準的な Linux サーバー上でも動作することから Lambda をターゲットにしたとの説明は顧客をミスリードするものだなどとも主張していたという。

しかし、脆弱性を悪用する仕組みを備えないマルウェアも数多くあり、XMRig は正規の暗号通貨採掘にも利用できるものの多くのセキュリティソフトウェアがマルウェアとみなしている。そのため、AWS が主張しているのは Lambda の機能や脆弱性を悪用して拡散するワームではないということのようだ。

この見解を VentureBeat が AWS に伝えたところ、Denonia が全くマルウェアではないという主張は取り下げる一方、「Lambdaを狙ったマルウェア」ではないという点は譲らず、Lambda 上で動作するよう構成されただけだなどと主張したとのことだ。