クラウドセキュリティ侵害の主な原因は? - Datadogが調査レポート
マイナビニュース2024年3月6日(水)15時15分
Datadogは3月6日、オンラインでメディア説明会を開き、レポート「クラウドセキュリティの現状2023」を発表した。レポートは、2023年9月~10月の期間でグローバルにおけるAmazon Web Service(AWS)、Microsoft Azure、Google Cloudを使用している同社の数千の顧客から得たセキュリティデータを分析し、パブリッククラウドにセキュリティインシデントとして記録される共通的なリスクに組織がどのように対処し、軽減しているかを調査した。
変更しない認証情報が長期間利用されている
レポートによると、クラウド環境のセキュリティ確保に関して依然として課題に直面していることが明らかになり、特に認証情報を長期にわたり、変更しないことが引き続き、問題となっているが判明した。
これらの認証情報は、有効期限がないだけでなく、ソースコード、コンテナイメージ、設定ファイルから容易に漏えいする可能性があるため安全でないとみなされており、クラウドにおけるセキュリティ侵害の最も一般的な原因の1つだという。
Datadog Head of Security AdvocacyのAndrew Krug氏は「危険なリスクを伴う認証情報が少なくとも1年以上、また3年以上、最悪の場合は5年以上も長期間で使われてしまっている。これは、クラウドプロバイダーの環境において大きなリスクになっている」と述べた。
また、長期使用されているアクセスキーが漏えいしてしまうことが、クラウド環境におけるデータ侵害の一番大きな原因になっている。アクセスキーが生成されたにもかからず、まったく使われておらず、生成されたアクセスキーが90日間使用されていないケースが往々にしてあるほか、1年以上使われていないものも存在しているという。
さらに、多要素認証(MFA)が一貫して適用されていない状況がAWSとAzureにあり、2023年10月時点で、AWSコンソールに認証されたIAMユーザーの20.3%がMFAを使用せず、Azure ADユーザーでは20.7%がMFAを使用していない。
セキュアなバージョンが使われていないインスタンスが多い
加えて、AWS IMDSv2(インスタンスメタデータサービスバージョン2)を使用するインスタンスは昨年比で倍増している。AWS IMDSv2は、AWS環境におけるすべてのサーバ、ワークロードに付与され、仮の認証情報を発行することでインスタンスが必要なタスクを実行できるようにするもの。
旧バージョンのIMDSだと攻撃者が認証情報を盗み出し、AWSの環境外で使い、サーバが実行する機能と同様の機能を利用していまうことができてしまっていたが、新バージョンの利用が広まりつつあるという。しかし、継続使用しているインスタンスは少ない状況となっている。
Krug氏は「インスタンスの中に新旧両方のバージョンを適用しているものがあるが、その場合はよりセキュアなIMDSv2を強制的に適用している。しかし、大半はどちらかのバージョンのみを適用する形になっている。これは、セキュアなバージョンが使われていないインスタンスが多く、攻撃者がサーバ上で稼働するWebアプリケーションから認証情報を盗み出し、データの侵害に利用することができ得るということを意味する」と説明した。
IAMは重要であり、クリティカルな要素
また、AWS Identity and Access Management(IAM)も重要な要素であり、インスタンスが必要な情報を実行するためのパーミッションが付与されるが、ジョブの実行に必要なパーミッションよりも危険なパーミッションを受けているインスタンスがあるという。インスタンスの20%ほどがジョブの実行に必要なレベルを超えた機密情報へのアクセスを持ってしまっているとのことだ。
そして、インスタンスの1~8%は高いレベルのパーミッションを受けているため、攻撃者が特権権限をエスカレーションしてしまったり、ラテラルムーブメントを起こしてしまったり、管理者アクセスを受けることができてしまったりしていると指摘。
こうした状況はAWSに限った話ではない。Google CloudのVM(仮想マシン)の37%がコンピュートエンジンのデフォルトサービスアカウントからリスクの高井パーミッションが設定されている。Krug氏は「つまり、すべてのクラウドプロバイダーの環境において、IAMが付与するパーミッションを継続的に注視していく必要がある」と警鐘を鳴らす。
最後に、同氏は「クラウドのセキュリティ対策はすべてのユーザー、環境において改善されてはいる。しかし、レポートで判明したことは今後もクラウド環境のモニタリングを継続する必要があるほか、相関分析をすべての環境において実施していく必要がある。また、モニタリングと必要なアクションを実行するうえで、IAMは重要であるとともにクリティカルな要素である」とし、説明を締めくくった。
変更しない認証情報が長期間利用されている
レポートによると、クラウド環境のセキュリティ確保に関して依然として課題に直面していることが明らかになり、特に認証情報を長期にわたり、変更しないことが引き続き、問題となっているが判明した。
これらの認証情報は、有効期限がないだけでなく、ソースコード、コンテナイメージ、設定ファイルから容易に漏えいする可能性があるため安全でないとみなされており、クラウドにおけるセキュリティ侵害の最も一般的な原因の1つだという。
Datadog Head of Security AdvocacyのAndrew Krug氏は「危険なリスクを伴う認証情報が少なくとも1年以上、また3年以上、最悪の場合は5年以上も長期間で使われてしまっている。これは、クラウドプロバイダーの環境において大きなリスクになっている」と述べた。
また、長期使用されているアクセスキーが漏えいしてしまうことが、クラウド環境におけるデータ侵害の一番大きな原因になっている。アクセスキーが生成されたにもかからず、まったく使われておらず、生成されたアクセスキーが90日間使用されていないケースが往々にしてあるほか、1年以上使われていないものも存在しているという。
さらに、多要素認証(MFA)が一貫して適用されていない状況がAWSとAzureにあり、2023年10月時点で、AWSコンソールに認証されたIAMユーザーの20.3%がMFAを使用せず、Azure ADユーザーでは20.7%がMFAを使用していない。
セキュアなバージョンが使われていないインスタンスが多い
加えて、AWS IMDSv2(インスタンスメタデータサービスバージョン2)を使用するインスタンスは昨年比で倍増している。AWS IMDSv2は、AWS環境におけるすべてのサーバ、ワークロードに付与され、仮の認証情報を発行することでインスタンスが必要なタスクを実行できるようにするもの。
旧バージョンのIMDSだと攻撃者が認証情報を盗み出し、AWSの環境外で使い、サーバが実行する機能と同様の機能を利用していまうことができてしまっていたが、新バージョンの利用が広まりつつあるという。しかし、継続使用しているインスタンスは少ない状況となっている。
Krug氏は「インスタンスの中に新旧両方のバージョンを適用しているものがあるが、その場合はよりセキュアなIMDSv2を強制的に適用している。しかし、大半はどちらかのバージョンのみを適用する形になっている。これは、セキュアなバージョンが使われていないインスタンスが多く、攻撃者がサーバ上で稼働するWebアプリケーションから認証情報を盗み出し、データの侵害に利用することができ得るということを意味する」と説明した。
IAMは重要であり、クリティカルな要素
また、AWS Identity and Access Management(IAM)も重要な要素であり、インスタンスが必要な情報を実行するためのパーミッションが付与されるが、ジョブの実行に必要なパーミッションよりも危険なパーミッションを受けているインスタンスがあるという。インスタンスの20%ほどがジョブの実行に必要なレベルを超えた機密情報へのアクセスを持ってしまっているとのことだ。
そして、インスタンスの1~8%は高いレベルのパーミッションを受けているため、攻撃者が特権権限をエスカレーションしてしまったり、ラテラルムーブメントを起こしてしまったり、管理者アクセスを受けることができてしまったりしていると指摘。
こうした状況はAWSに限った話ではない。Google CloudのVM(仮想マシン)の37%がコンピュートエンジンのデフォルトサービスアカウントからリスクの高井パーミッションが設定されている。Krug氏は「つまり、すべてのクラウドプロバイダーの環境において、IAMが付与するパーミッションを継続的に注視していく必要がある」と警鐘を鳴らす。
最後に、同氏は「クラウドのセキュリティ対策はすべてのユーザー、環境において改善されてはいる。しかし、レポートで判明したことは今後もクラウド環境のモニタリングを継続する必要があるほか、相関分析をすべての環境において実施していく必要がある。また、モニタリングと必要なアクションを実行するうえで、IAMは重要であるとともにクリティカルな要素である」とし、説明を締めくくった。
「セキュリティ」をもっと詳しく
「セキュリティ」のニュース
-
Illumio、ソフトウェアベンダーなどで構成される「Microsoftインテリジェントセキュリティアソシエーション」へ加盟5月17日14時46分
-
デジタルアセットマーケッツ、セキュリティトークン(ST)の分散型量子耐性原簿管理システムの基礎技術開発完了及び関連特許取得のお知らせ5月17日14時46分
-
マイクロメイツ、「楽々てすと君」の新規契約で、情報セキュリティの脅威・対策が学べるeラーニングコンテンツの無償提供を開始5月17日14時16分
-
トーク支援ツール「UKABU」が、情報セキュリティマネジメントシステム(ISMS)の国際規格「ISO/IEC27001」を取得5月17日13時16分
-
タニウム、ServiceNowと連携してコストとリスクを削減するパワフルなソリューションを提供5月17日13時16分
-
サイバーセキュリティクラウド主催イベント「Cloud Security Day 2024 〜企業のミライに繋ぐこれからのAWSセキュリティ〜」 が5月28日に開催5月17日11時0分
-
Microsoft、更新プログラムKB5036893によるVPN接続エラーを修正5月17日9時44分
-
AI技術による迅速なセキュリティサービスを実現する台湾のCyCraftとの協業を発表5月16日19時16分
-
石川県の恵寿総合病院が、病院の働き方を変えるDXを推進するためにZscalerのゼロトラストセキュリティソリューションを導入5月16日18時46分
-
NIST SP800-171準拠セキュリティ支援ソリューションの提供開始5月16日18時46分