セキュリティベンダー米Rapid7と同社日本法人ラピッドセブン・ジャパンは、同社が行ったクラウドセキュリティプロジェクト「Heisenberg Cloud(ヘイゼンバーグ クラウド)」を使い、クラウドプロバイダーの主要6社、Amazon Web Services、Microsoft Azure、IBM Softlayer、DigitalOcean、Rackspace Cloud Hostingの協力のもと、クラウド環境の攻撃について調査分析を行った。

Heisenberg Cloudは、Rapid7 LabsがHoneypot(ハニーポット)に攻撃者をおびき寄せる罠を設置し、侵入者の意図や攻撃手法の調査や挙動の観察を行うシステムをクラウド環境向けに構築したもので、このシステムを使った調査でいくつかの注目するデータを得ることができたことを同社は発表した。今回、米Rapid7のCTO(chief technical officer:最高技術責任者)であり、共同創業者であるTas Giakouminakis氏の来日に合わせて、同氏によりその調査の結果が発表された。

Rapid7とHeisenberg Cloud

Rapid7 CTO、共同創業者Tas Giakouminakis氏

Rapid7は2000年にAllan Matthews氏、Chad Loder氏、そして今回来日したTas Giakouminakis氏の三人により米国、ボストンで創業。攻撃者の視点を持ったセキュリティベンダーとして名を馳せており、顧客数は、世界中で5,000社、売上は150万ドルを超える。脆弱性管理・可視化ソリューション「nexpose」、テストソリューションである「metasploit」、Webアプリケーションスキャナー「appspider」、ユーザー行動分析・管理・可視化する「insightIDR」が主要ソリューションとして挙げられる。

ラピッドセブン・ジャパン代表 牛込秀樹氏

日本法人であるラピッドセブン・ジャパン代表の牛込秀樹氏はセキュリティ業界の今後の動向について「現在のセキュリティ技術は、リスクベースセキュリティへ向かっている」と述べる。広がるIoT環境と多様なデバイス、それに合わせた多種多様なマルウェアの世界規模での広がりが、従来の防御を主体としたファイアウォール、IPS、サンドボックス等の防御ベースのセキュリティでは、対応しきれないことが予想されるためだという。

リスクベースセキュリティは、侵入されることを前提として侵入者のデータ収集と解析からネットワーク内の脆弱性を可視化し、優先度をつけて対応していくというもの。これにより迅速な検知、防御、改善をバランスよく実行できる利点があるという。同社は、リスクベースセキュリティのために、「セキュリティ アドバイザリー・サービス」、「脆弱性リスク管理サービス」、「インシデント・レスポンス/ユーザー行動分析」の三つサービスを柱にしている。

Tas Giakouminakis氏は、Heisenberg Cloudについて、「名前の由来は、不確定性原理のハイゼンベルクから取られている。粒子の動きのようにサイバーセキュリティの世界の動きも理解するのも難しいというところから来ている」と紹介。探知するためのセンサーは、Amazon、Microsoft、Googleなど世界的にクラウドサービスを展開する6社の拠点に260箇所程度設置されており、Heisenberg Cloudのハニーポットは、各ノードレベルで様々な設定が可能でログやレポートをポータルで一元管理することが可能になる。

「Heisenberg Cloud」のセンサーが設置されている場所と個数(同社資料)

プロバイダごとのIPアドレスの合計。Amazonが40Mと圧倒的に多く、次いでMicrosoft Azureが7.5M、Googleは、753Kと予想外に少ないことがわかった。また、プロバイダ事に割り当てられるIPv4アドレスがどれだけ利用されているのか調査した結果、amazonでは、3.4M、次いでDigital Oceanが600K、Microsoft Azureは590Kとなっていた。ここでもamazonが他を圧倒していた。(同社資料参照)

使われているポートについてwindows、database、mail、shell、webの5つカテゴリーに分類してみると全体のリソースとしては、Webが一番多く70%から80%利用されているなかでGoogleだけは、53.5%と少なく逆にShellが74%と高い数値を出している。

Tas Giakouminakis氏は、具体的な攻撃について、当初は、すべてのサイトに均等に分布して攻撃をしているのではないか?と予想していたが、攻撃はすべてのクラウドプロバイダーに向けられているわけではないことがわかったと語った。そして、攻撃に関しても設定のミスなどによるものが多くあることがわかったという。有効な攻撃は、オープンプロキシをリレーしてのものが多く、攻撃は意外にも2010年以前の脆弱性を狙ったものが多数あったのだという。クラウド間の通信の割合では、AmazonからAmazonの間での通信が非常に多く、他のクラウドでも同じクラウド間での通信が多くみられた。

Amazonノード間での大量の通信(同社資料)

攻撃者の傾向とボットネットMiraiの動向

今回の調査では、10月21日にDNSサービスを提供する米国Dyn社へ大規模DDoS攻撃を行い、システムをダウンさせたボットネット「Mirai」についての調査も行なわれている。Miraiは、監視カメラやUSB機器、家庭用ルーターなどのオンラインデバイス、IoT機器を中心にしかけられるマルウェアで、ボットネットを構成し大規模なDDoS攻撃を行う。今回、Miraiによる攻撃があった10月21日前後のHeisenberg Cloudの動きを見てみると、結果としてボットネットを40Mほど確認している。

Miraiの攻撃(同社資料)

Tas氏は、今回、システムへの攻撃の発信国として、ベトナム、ブラジル、中国の順に多かったと述べた。これは、今回のMiraiの感染する監視カメラやUSB機器などがそれらの国に多数あるためと思われる。日本では、その数はすくなく55のデバイスを確認できた程度になるという。Tas氏によれば、Miraiの攻撃は減少傾向にあるという。

Miraiの攻撃の発信国(同社資料)

10月22日前後の攻撃者が狙ったプロトコルとその頻度(同社資料)(同社資料)

Heisenberg Cloudの結果から見えたクラウドセキュリティのポイント

今回のHeisenberg Cloudの結果から、Tas氏は、6つのクラウドのセキュリティについて6つのポイントを挙げた。

一つ目は、公開されているセグメントでは、1080/3128/8000/8080/8083/8118/8888などのポートを使用しないこと。これらのポートが主要な攻撃先となっているためである。

二つ目が、クラウド上において、一般向けのAPIサービスを提供する場合以外は、CIDR(Classless Inter-Domain Routing:サイダー)をブロックすること。また、匿名ユーザーがサービスにアクセスする可能性があるので、サービスは自動化して人の介入をできるだけ抑えること。

三つ目が可能なかぎり、コンピューティング・サービスは限定公開にすること。公開する場合は、VPCs(Virtual Private Clouds)やプライベートネットワークを活用すること。

四つ目がデータベースを公開している場合は、データベースとWebのすべてのトランザクションのログを取得すること。これは、ログがあれば攻撃者の手法や行動を分析することができるためだが、慎重を要するのは、クレジット情報や顧客のIP情報などをうっかり保存しないようにすること。

五つ目が回復力のあるアプリケーションを開発すること。すぐ回復できればそれだけ傷口が広がらずに済む。

六つ目が、しっかりとパッチを適用すること。古い脆弱性を狙った攻撃が意外に多い。またデフォルトのパスワードを使う攻撃も多い。