|
|
日本マイクロソフト |
攻撃者は前回触れた攻撃手法以外にも、新たな手口を編み出してIT環境への侵入を試みています。今回は、Microsoft Azure環境下で確認している代表的な攻撃パターンをご紹介します。
パブリックリポジトリへの資格情報の公開
GitHubをはじめとするパブリックなコードリポジトリは、開発者にとって当たり前のツールとなり、クラウド開発においても活発に利用されています。しかし、データが公開される「パブリックリポジトリ」の取り扱いには気をつけなかればなりません。
実は、開発者が誤って「SSH接続キー」や「管理者、rootアカウントなどの資格情報、鍵」などを含めたままの状態で、ソースコードを公開するケースが頻発しています。攻撃者は、GitHubの検索機能やスクリプトなどを利用して、公開されている資格情報や接続情報を収集。クラウドサービスやサブスクリプションへの不正ログオンを行います。
この問題は2013年頃から注目を集めているものの、いまだに資格情報が公開されたままで、不正ログオン被害に繋がるケースが見られます。GitHubが推奨しているように、GitHub Desktopやコマンドを利用するほか、公開する場合のポリシーや手順、ダブルチェックの仕組みを設けるなど、機能と制度の両面から管理体制の確認を行ってください。
また万が一、資格情報などを公開してしまった場合には、リポジトリや履歴から削除を行い、公開してしまった時間が短い場合でもアカウントや資格情報を変更してください。わずかでも侵害の危険性を考慮して、対策を行うことがセキュリティの鉄則と考えておきましょう。
ローカルからのサイドチャネル攻撃
攻撃者の多くは、クラウド管理者の資格情報を盗むと、クラウドサービスに不正ログオンして、新しい仮想マシンをデプロイします。さらにその後、仮想マシンからローカル DDoSやネットワーク上の盗聴、中間者攻撃といった手法を用いて、組織システム深部への侵入を試みてデータを盗み取ります。
この攻撃パターンについては、Azureのネットワークなどにおけるセキュリティ機能で保護されているため、実際に成功することは容易ではありません。ただ、常に最新のセキュリティパッチを適用して、役割ベースの管理権限アカウントを利用するといった対策を講じることが重要です。
オンプレミス環境への侵害拡大
攻撃者がクラウドの管理者アカウントに不正ログオンに成功している場合、被害は上述のクラウドリソースにおける侵害にとどまらないケースもあります。
クラウドを利用している組織の多くは既存のオンプレミス環境と連携している上、組織にとって重要なデータ、すなわち、攻撃者にとって価値のあるデータは、クラウドではなくオンプレミス側に存在しているケースがほとんどでしょう。こうしたことから、攻撃者はオンプレミスへの侵入の糸口として、クラウド環境へ侵入する場合があります。
例えば攻撃者がクラウド環境に不正ログオンすると、「Bashセッション履歴」や「仮想マシンのRootディレクトリに残されている情報」を探します。同じ資格情報や類似情報を用いて、ほかのデータベースやSharepointサイトへの接続を試みて、徐々にオンプレミス環境への侵害を深めていきます。
自環境がが加害者になることもある
クラウドは潤沢なリソースを迅速に利用できる大きなメリットがあるものの、これは攻撃者にとっても同様で、攻撃を行う「武器」として利用する価値が生まれるのです。
例えば、これまでのオンプレミスの環境ではマルウェア感染によって、意図するコマンドをいつでも実行できるように支配下に置いた、いわゆる「ボット」化したユーザーの端末を利用して攻撃を行ってきました。クラウド環境においては、不正ログオンしたクラウドリソースの仮想マシンをボット化し、他環境へDDoS攻撃を行ったり、ポートスキャン、フィッシングメールの大量送信など、乗っ取った仮想マシンを攻撃ツールとして利用します。
こうしたAzure上の「攻撃者の武器」にされてしまったユーザー環境は多く発見されています。二要素認証や役割ベースの管理アカウント割り当てといったアカウント保護に加えて、第一回でご紹介したAzure セキュリティセンターを活用することで、新たなリソースの増減、外向きの不正な通信の有無をいち早く検出し、対応することが重要です。
|
|
Microsoft Azure から発生している攻撃タイプ(2016 年 9 月、出典はMicrosoft Security Intelligence Report Vol. 21) |
クラウド環境は、これまでのオンプレミスと異なる「新たな攻撃パターン」による被害が見られており、次々に新しいパターンが生まれています。被害を受けないためには、多層防御によるセキュリティ強化を行うとともに、Azure セキュリティ センターを活用して、攻撃をいち早く検出・対処することが重要なポイントとなります。
※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。
連載目次
もっと知りたい!こちらもオススメ
【連載】 ジャパンネット銀行CSIRTチームが伝える「CSIRTアレコレ」 【第2回】CSIRT運用の"リアル"と"ポイント"
連載2回目の今回は、CSIRT運用の"リアル"と、適切に運用するためのポイントについて、JNBの事例を基に解説したいと思います。
関連リンク
ダウンロードBOXに入れる
記事をダウンロードBOXに追加します。よろしいですか?
ブックマーク
記事をブックマークに追加します。よろしいですか?
![[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方](https://cmsb.news.mynavi.jp/itsearch/files/201906gaogawa300-50.jpg)
-
![【連載】PowerShell Core入門 - 基本コマンドの使い方 [137] PowerShell 7をインタラクティブシェルとして使う - PSReadLineでbash的機能を獲得](https://news.mynavi.jp/itsearch/assets_c/PS_300-250_28.jpg)
[2021/02/26 08:00] サーバ/ストレージ
![最前線の現場はどうすればデジタル化できるか? 鍵は 現場でつくる という発想 [PR]](https://news.mynavi.jp/itsearch/assets_c/202102azbilindex.png)
-
2021年3月2日(火)
5G/IoT時代、「通信」の提供だけでは生き残れない 「今求められる通信業界の新たなサービス提供のあり方とは?」 -
2021年3月3日(水)15:00~16:55(14:45から入場・接続開始)
【ラックセキュリティセミナー】 Webサイトオーナー必見!! Webセキュリティ最前線2021 ~Web診断とWAFの相乗効果による効率のよい脅威対策~ -
2021年3月4日(木)14:00~15:10
【Day2】これからサイトリニューアルに取り組む方へ 失敗しないプロジェクトの進め方とCMS選択のポイントとは? -
2021年3月4日(木)13:30-14:55
話題のSASEが大集結!徹底解剖セミナー -
2021年3月5日(金)
語る。DXの真髄。 -情シスから改革を-
今注目のIT用語の意味を事典でチェック!
