Palo Alto Networksの脅威インテリジェンスチーム「Unit42」は11月22日(米国時間)クラウド環境における設定ミスのリスクについて調査したレポート「Observing Attacks Against Hundreds of Exposed Services in Public Clouds」を公開した。同調査により、不適切に設定されたクラウドサービスは早ければ数分で、遅くとも1週間以内には攻撃の危険にさらされることが明らかになった。

同調査は、パブリッククラウド上に意図的に不適切に設定した320個のハニーポットを設置することで行われた。RDP(リモートデスクトッププロトコル)、SSH、SMB(サーバメッセージブロック)、およびPostgresデータベースについて複数のインスタンスをハニーポットに展開し、それが悪意を持った第三者によって発見されて攻撃にさらされるまでの時間などを調べたという。

  • 調査に使われたハニーポットインフラストラクチャ(出典:Unit42)

    調査に使われたハニーポットインフラストラクチャ 出典:Unit42

レポートでは、この調査結果の特筆すべき点が次のようにまとめられている。

  • 最も攻撃されたアプリケーションはSSHで、攻撃は他の3つのアプリケーションよりもはるかに多かった
  • 最も攻撃されたSSHハニーポットは、1日に169回侵害された
  • 各SSHハニーポットは1日に平均26回侵害された
  • 1人の脅威アクターが、30秒以内に世界中の80のPostgresハニーポットの96%を侵害した
  • 攻撃者のIPの85%は1日だけ観察された

320個のハニーポットの80%が24時間以内に危険にさらされ、すべてのハニーポットが1週間以内に危険にさらされたという。攻撃を受ける速度や頻度のほかには、ファイアウォールの有無が攻撃を受けるリスクにはほとんど影響しないという分析結果が興味深い。次の図はファイアウォールなしのグループと有りのグループで、各ハニーポットに観測された攻撃の数を比較したものである。

  • ファイアウォールの有無にかかわらず各ハニーポットで観察された一意の攻撃者IPの平均数(出典:Unit42)

    ファイアウォールの有無にかかわらず各ハニーポットで観察された一意の攻撃者IPの平均数 出典:Unit42

両者に有意な差は見られない。これは、攻撃者が同じIPを再利用することは滅多にないため、レイヤー3のIPベースのファイアウォールには攻撃防止の効果がほとんどないからだという。

昨今のインターネット向けサービスはほとんどがクラウドインフラ上に展開されているため、1回の設定ミスの影響が複数のインスタンスに波及することは珍しくない。そのような脆弱なインスタンスはわずか数分で攻撃にさらされる危険性がある。Unit42のレポートでは、このような設定ミスを防止するための適切な戦略を実施することを推奨している。