攻撃者は前回触れた攻撃手法以外にも、新たな手口を編み出してIT環境への侵入を試みています。今回は、Microsoft Azure環境下で確認している代表的な攻撃パターンをご紹介します。
パブリックリポジトリへの資格情報の公開
GitHubをはじめとするパブリックなコードリポジトリは、開発者にとって当たり前のツールとなり、クラウド開発においても活発に利用されています。しかし、データが公開される「パブリックリポジトリ」の取り扱いには気をつけなかればなりません。
実は、開発者が誤って「SSH接続キー」や「管理者、rootアカウントなどの資格情報、鍵」などを含めたままの状態で、ソースコードを公開するケースが頻発しています。攻撃者は、GitHubの検索機能やスクリプトなどを利用して、公開されている資格情報や接続情報を収集。クラウドサービスやサブスクリプションへの不正ログオンを行います。
この問題は2013年頃から注目を集めているものの、いまだに資格情報が公開されたままで、不正ログオン被害に繋がるケースが見られます。GitHubが推奨しているように、GitHub Desktopやコマンドを利用するほか、公開する場合のポリシーや手順、ダブルチェックの仕組みを設けるなど、機能と制度の両面から管理体制の確認を行ってください。
また万が一、資格情報などを公開してしまった場合には、リポジトリや履歴から削除を行い、公開してしまった時間が短い場合でもアカウントや資格情報を変更してください。わずかでも侵害の危険性を考慮して、対策を行うことがセキュリティの鉄則と考えておきましょう。
ローカルからのサイドチャネル攻撃
攻撃者の多くは、クラウド管理者の資格情報を盗むと、クラウドサービスに不正ログオンして、新しい仮想マシンをデプロイします。さらにその後、仮想マシンからローカル DDoSやネットワーク上の盗聴、中間者攻撃といった手法を用いて、組織システム深部への侵入を試みてデータを盗み取ります。
この攻撃パターンについては、Azureのネットワークなどにおけるセキュリティ機能で保護されているため、実際に成功することは容易ではありません。ただ、常に最新のセキュリティパッチを適用して、役割ベースの管理権限アカウントを利用するといった対策を講じることが重要です。
オンプレミス環境への侵害拡大
攻撃者がクラウドの管理者アカウントに不正ログオンに成功している場合、被害は上述のクラウドリソースにおける侵害にとどまらないケースもあります。
クラウドを利用している組織の多くは既存のオンプレミス環境と連携している上、組織にとって重要なデータ、すなわち、攻撃者にとって価値のあるデータは、クラウドではなくオンプレミス側に存在しているケースがほとんどでしょう。こうしたことから、攻撃者はオンプレミスへの侵入の糸口として、クラウド環境へ侵入する場合があります。
例えば攻撃者がクラウド環境に不正ログオンすると、「Bashセッション履歴」や「仮想マシンのRootディレクトリに残されている情報」を探します。同じ資格情報や類似情報を用いて、ほかのデータベースやSharepointサイトへの接続を試みて、徐々にオンプレミス環境への侵害を深めていきます。
自環境がが加害者になることもある
クラウドは潤沢なリソースを迅速に利用できる大きなメリットがあるものの、これは攻撃者にとっても同様で、攻撃を行う「武器」として利用する価値が生まれるのです。
例えば、これまでのオンプレミスの環境ではマルウェア感染によって、意図するコマンドをいつでも実行できるように支配下に置いた、いわゆる「ボット」化したユーザーの端末を利用して攻撃を行ってきました。クラウド環境においては、不正ログオンしたクラウドリソースの仮想マシンをボット化し、他環境へDDoS攻撃を行ったり、ポートスキャン、フィッシングメールの大量送信など、乗っ取った仮想マシンを攻撃ツールとして利用します。
こうしたAzure上の「攻撃者の武器」にされてしまったユーザー環境は多く発見されています。二要素認証や役割ベースの管理アカウント割り当てといったアカウント保護に加えて、第一回でご紹介したAzure セキュリティセンターを活用することで、新たなリソースの増減、外向きの不正な通信の有無をいち早く検出し、対応することが重要です。
クラウド環境は、これまでのオンプレミスと異なる「新たな攻撃パターン」による被害が見られており、次々に新しいパターンが生まれています。被害を受けないためには、多層防御によるセキュリティ強化を行うとともに、Azure セキュリティ センターを活用して、攻撃をいち早く検出・対処することが重要なポイントとなります。