気をつけて、代表的なクラウド環境攻撃例4選

【連載】

AzureとOffice 365のセキュリティ、MS ゆりか先生が教えます

【第6回】気をつけて、代表的なクラウド環境攻撃例4選

[2017/01/31 08:00]垣内由梨香 ブックマーク ブックマーク

セキュリティ

日本マイクロソフト
セキュリティレスポンスチーム
セキュリティプログラムマネージャー
ゆりか先生(村木 由梨香)

攻撃者は前回触れた攻撃手法以外にも、新たな手口を編み出してIT環境への侵入を試みています。今回は、Microsoft Azure環境下で確認している代表的な攻撃パターンをご紹介します。

パブリックリポジトリへの資格情報の公開

GitHubをはじめとするパブリックなコードリポジトリは、開発者にとって当たり前のツールとなり、クラウド開発においても活発に利用されています。しかし、データが公開される「パブリックリポジトリ」の取り扱いには気をつけなかればなりません。

実は、開発者が誤って「SSH接続キー」や「管理者、rootアカウントなどの資格情報、鍵」などを含めたままの状態で、ソースコードを公開するケースが頻発しています。攻撃者は、GitHubの検索機能やスクリプトなどを利用して、公開されている資格情報や接続情報を収集。クラウドサービスやサブスクリプションへの不正ログオンを行います。

この問題は2013年頃から注目を集めているものの、いまだに資格情報が公開されたままで、不正ログオン被害に繋がるケースが見られます。GitHubが推奨しているように、GitHub Desktopやコマンドを利用するほか、公開する場合のポリシーや手順、ダブルチェックの仕組みを設けるなど、機能と制度の両面から管理体制の確認を行ってください。

また万が一、資格情報などを公開してしまった場合には、リポジトリや履歴から削除を行い、公開してしまった時間が短い場合でもアカウントや資格情報を変更してください。わずかでも侵害の危険性を考慮して、対策を行うことがセキュリティの鉄則と考えておきましょう。

ローカルからのサイドチャネル攻撃

攻撃者の多くは、クラウド管理者の資格情報を盗むと、クラウドサービスに不正ログオンして、新しい仮想マシンをデプロイします。さらにその後、仮想マシンからローカル DDoSやネットワーク上の盗聴、中間者攻撃といった手法を用いて、組織システム深部への侵入を試みてデータを盗み取ります。

この攻撃パターンについては、Azureのネットワークなどにおけるセキュリティ機能で保護されているため、実際に成功することは容易ではありません。ただ、常に最新のセキュリティパッチを適用して、役割ベースの管理権限アカウントを利用するといった対策を講じることが重要です。

オンプレミス環境への侵害拡大

攻撃者がクラウドの管理者アカウントに不正ログオンに成功している場合、被害は上述のクラウドリソースにおける侵害にとどまらないケースもあります。

クラウドを利用している組織の多くは既存のオンプレミス環境と連携している上、組織にとって重要なデータ、すなわち、攻撃者にとって価値のあるデータは、クラウドではなくオンプレミス側に存在しているケースがほとんどでしょう。こうしたことから、攻撃者はオンプレミスへの侵入の糸口として、クラウド環境へ侵入する場合があります。

例えば攻撃者がクラウド環境に不正ログオンすると、「Bashセッション履歴」や「仮想マシンのRootディレクトリに残されている情報」を探します。同じ資格情報や類似情報を用いて、ほかのデータベースやSharepointサイトへの接続を試みて、徐々にオンプレミス環境への侵害を深めていきます。

自環境がが加害者になることもある

クラウドは潤沢なリソースを迅速に利用できる大きなメリットがあるものの、これは攻撃者にとっても同様で、攻撃を行う「武器」として利用する価値が生まれるのです。

例えば、これまでのオンプレミスの環境ではマルウェア感染によって、意図するコマンドをいつでも実行できるように支配下に置いた、いわゆる「ボット」化したユーザーの端末を利用して攻撃を行ってきました。クラウド環境においては、不正ログオンしたクラウドリソースの仮想マシンをボット化し、他環境へDDoS攻撃を行ったり、ポートスキャン、フィッシングメールの大量送信など、乗っ取った仮想マシンを攻撃ツールとして利用します。

こうしたAzure上の「攻撃者の武器」にされてしまったユーザー環境は多く発見されています。二要素認証や役割ベースの管理アカウント割り当てといったアカウント保護に加えて、第一回でご紹介したAzure セキュリティセンターを活用することで、新たなリソースの増減、外向きの不正な通信の有無をいち早く検出し、対応することが重要です。

Microsoft Azure から発生している攻撃タイプ(2016 年 9 月、出典はMicrosoft Security Intelligence Report Vol. 21)

クラウド環境は、これまでのオンプレミスと異なる「新たな攻撃パターン」による被害が見られており、次々に新しいパターンが生まれています。被害を受けないためには、多層防御によるセキュリティ強化を行うとともに、Azure セキュリティ センターを活用して、攻撃をいち早く検出・対処することが重要なポイントとなります。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

一覧はこちら

連載目次

もっと知りたい!こちらもオススメ

【連載】 ジャパンネット銀行CSIRTチームが伝える「CSIRTアレコレ」 【第2回】CSIRT運用の

【連載】 ジャパンネット銀行CSIRTチームが伝える「CSIRTアレコレ」 【第2回】CSIRT運用の"リアル"と"ポイント"

連載2回目の今回は、CSIRT運用の"リアル"と、適切に運用するためのポイントについて、JNBの事例を基に解説したいと思います。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします

会員登録(無料)

注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
知りたい! カナコさん 皆で話そうAIのコト
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
PowerShell Core入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る