クラウドセキュリティ侵害の主な原因は? - Datadogが調査レポート
2024年3月6日(水)15時15分 マイナビニュース
Datadogは3月6日、オンラインでメディア説明会を開き、レポート「クラウドセキュリティの現状2023」を発表した。レポートは、2023年9月〜10月の期間でグローバルにおけるAmazon Web Service(AWS)、Microsoft Azure、Google Cloudを使用している同社の数千の顧客から得たセキュリティデータを分析し、パブリッククラウドにセキュリティインシデントとして記録される共通的なリスクに組織がどのように対処し、軽減しているかを調査した。
変更しない認証情報が長期間利用されている
レポートによると、クラウド環境のセキュリティ確保に関して依然として課題に直面していることが明らかになり、特に認証情報を長期にわたり、変更しないことが引き続き、問題となっているが判明した。
これらの認証情報は、有効期限がないだけでなく、ソースコード、コンテナイメージ、設定ファイルから容易に漏えいする可能性があるため安全でないとみなされており、クラウドにおけるセキュリティ侵害の最も一般的な原因の1つだという。
Datadog Head of Security AdvocacyのAndrew Krug氏は「危険なリスクを伴う認証情報が少なくとも1年以上、また3年以上、最悪の場合は5年以上も長期間で使われてしまっている。これは、クラウドプロバイダーの環境において大きなリスクになっている」と述べた。
また、長期使用されているアクセスキーが漏えいしてしまうことが、クラウド環境におけるデータ侵害の一番大きな原因になっている。アクセスキーが生成されたにもかからず、まったく使われておらず、生成されたアクセスキーが90日間使用されていないケースが往々にしてあるほか、1年以上使われていないものも存在しているという。
さらに、多要素認証(MFA)が一貫して適用されていない状況がAWSとAzureにあり、2023年10月時点で、AWSコンソールに認証されたIAMユーザーの20.3%がMFAを使用せず、Azure ADユーザーでは20.7%がMFAを使用していない。
セキュアなバージョンが使われていないインスタンスが多い
加えて、AWS IMDSv2(インスタンスメタデータサービスバージョン2)を使用するインスタンスは昨年比で倍増している。AWS IMDSv2は、AWS環境におけるすべてのサーバ、ワークロードに付与され、仮の認証情報を発行することでインスタンスが必要なタスクを実行できるようにするもの。
旧バージョンのIMDSだと攻撃者が認証情報を盗み出し、AWSの環境外で使い、サーバが実行する機能と同様の機能を利用していまうことができてしまっていたが、新バージョンの利用が広まりつつあるという。しかし、継続使用しているインスタンスは少ない状況となっている。
Krug氏は「インスタンスの中に新旧両方のバージョンを適用しているものがあるが、その場合はよりセキュアなIMDSv2を強制的に適用している。しかし、大半はどちらかのバージョンのみを適用する形になっている。これは、セキュアなバージョンが使われていないインスタンスが多く、攻撃者がサーバ上で稼働するWebアプリケーションから認証情報を盗み出し、データの侵害に利用することができ得るということを意味する」と説明した。
IAMは重要であり、クリティカルな要素
また、AWS Identity and Access Management(IAM)も重要な要素であり、インスタンスが必要な情報を実行するためのパーミッションが付与されるが、ジョブの実行に必要なパーミッションよりも危険なパーミッションを受けているインスタンスがあるという。インスタンスの20%ほどがジョブの実行に必要なレベルを超えた機密情報へのアクセスを持ってしまっているとのことだ。
そして、インスタンスの1〜8%は高いレベルのパーミッションを受けているため、攻撃者が特権権限をエスカレーションしてしまったり、ラテラルムーブメントを起こしてしまったり、管理者アクセスを受けることができてしまったりしていると指摘。
こうした状況はAWSに限った話ではない。Google CloudのVM(仮想マシン)の37%がコンピュートエンジンのデフォルトサービスアカウントからリスクの高井パーミッションが設定されている。Krug氏は「つまり、すべてのクラウドプロバイダーの環境において、IAMが付与するパーミッションを継続的に注視していく必要がある」と警鐘を鳴らす。
最後に、同氏は「クラウドのセキュリティ対策はすべてのユーザー、環境において改善されてはいる。しかし、レポートで判明したことは今後もクラウド環境のモニタリングを継続する必要があるほか、相関分析をすべての環境において実施していく必要がある。また、モニタリングと必要なアクションを実行するうえで、IAMは重要であるとともにクリティカルな要素である」とし、説明を締めくくった。
変更しない認証情報が長期間利用されている
レポートによると、クラウド環境のセキュリティ確保に関して依然として課題に直面していることが明らかになり、特に認証情報を長期にわたり、変更しないことが引き続き、問題となっているが判明した。
これらの認証情報は、有効期限がないだけでなく、ソースコード、コンテナイメージ、設定ファイルから容易に漏えいする可能性があるため安全でないとみなされており、クラウドにおけるセキュリティ侵害の最も一般的な原因の1つだという。
Datadog Head of Security AdvocacyのAndrew Krug氏は「危険なリスクを伴う認証情報が少なくとも1年以上、また3年以上、最悪の場合は5年以上も長期間で使われてしまっている。これは、クラウドプロバイダーの環境において大きなリスクになっている」と述べた。
また、長期使用されているアクセスキーが漏えいしてしまうことが、クラウド環境におけるデータ侵害の一番大きな原因になっている。アクセスキーが生成されたにもかからず、まったく使われておらず、生成されたアクセスキーが90日間使用されていないケースが往々にしてあるほか、1年以上使われていないものも存在しているという。
さらに、多要素認証(MFA)が一貫して適用されていない状況がAWSとAzureにあり、2023年10月時点で、AWSコンソールに認証されたIAMユーザーの20.3%がMFAを使用せず、Azure ADユーザーでは20.7%がMFAを使用していない。
セキュアなバージョンが使われていないインスタンスが多い
加えて、AWS IMDSv2(インスタンスメタデータサービスバージョン2)を使用するインスタンスは昨年比で倍増している。AWS IMDSv2は、AWS環境におけるすべてのサーバ、ワークロードに付与され、仮の認証情報を発行することでインスタンスが必要なタスクを実行できるようにするもの。
旧バージョンのIMDSだと攻撃者が認証情報を盗み出し、AWSの環境外で使い、サーバが実行する機能と同様の機能を利用していまうことができてしまっていたが、新バージョンの利用が広まりつつあるという。しかし、継続使用しているインスタンスは少ない状況となっている。
Krug氏は「インスタンスの中に新旧両方のバージョンを適用しているものがあるが、その場合はよりセキュアなIMDSv2を強制的に適用している。しかし、大半はどちらかのバージョンのみを適用する形になっている。これは、セキュアなバージョンが使われていないインスタンスが多く、攻撃者がサーバ上で稼働するWebアプリケーションから認証情報を盗み出し、データの侵害に利用することができ得るということを意味する」と説明した。
IAMは重要であり、クリティカルな要素
また、AWS Identity and Access Management(IAM)も重要な要素であり、インスタンスが必要な情報を実行するためのパーミッションが付与されるが、ジョブの実行に必要なパーミッションよりも危険なパーミッションを受けているインスタンスがあるという。インスタンスの20%ほどがジョブの実行に必要なレベルを超えた機密情報へのアクセスを持ってしまっているとのことだ。
そして、インスタンスの1〜8%は高いレベルのパーミッションを受けているため、攻撃者が特権権限をエスカレーションしてしまったり、ラテラルムーブメントを起こしてしまったり、管理者アクセスを受けることができてしまったりしていると指摘。
こうした状況はAWSに限った話ではない。Google CloudのVM(仮想マシン)の37%がコンピュートエンジンのデフォルトサービスアカウントからリスクの高井パーミッションが設定されている。Krug氏は「つまり、すべてのクラウドプロバイダーの環境において、IAMが付与するパーミッションを継続的に注視していく必要がある」と警鐘を鳴らす。
最後に、同氏は「クラウドのセキュリティ対策はすべてのユーザー、環境において改善されてはいる。しかし、レポートで判明したことは今後もクラウド環境のモニタリングを継続する必要があるほか、相関分析をすべての環境において実施していく必要がある。また、モニタリングと必要なアクションを実行するうえで、IAMは重要であるとともにクリティカルな要素である」とし、説明を締めくくった。
関連記事(外部サイト)
