『Unit 42 Cloud Threat Report, 2H 2021(Unit 42クラウド脅威レポート2021年2H)』からの注目ポイント

A conceptual image representing cloud security, associated with the Unit 42 Cloud Threat Report, 2H 2021.

This post is also available in: English (英語)

概要

SolarWindsKaseya VSAなど、注目を集めたソフトウェアサプライチェーン攻撃は、クラウド基盤内のセキュリティに対し組織が抱く認識と、ビジネスに壊滅的な影響を与えうるサプライチェーン内の脅威の現実との格差をまざまざと見せつけるものでした。

今回パロアルトネットワークスが新たに発表する「Unit 42 Cloud Threat Report, 2H 2021(英語版 )」では、弊社脅威インテリジェンスチームUnit 42のリサーチャーが、クラウドにおけるサプライチェーン攻撃の全容を深く掘り下げ、その発生メカニズムについて誤解されがちな詳細を説明しています。また、クラウド上のソフトウェアサプライチェーンを保護するために、企業がすぐに導入できる実用的な推奨事項についてもご紹介しています。

調査はどのように進められたか

私たちは、世界中のさまざまな公的データソースから得たデータを分析することにより、企業がソフトウェアサプライチェーンにおいて現在直面している脅威の増大に関する結論を導き出しました。本分析では以下の知見が得られました。

  • クラウドインフラストラクチャの構築に使用されたサードパーティ製コードテンプレートの63%に安全でない構成が含まれている
  • クラウドインフラに導入されているサードパーティ製コンテナアプリケーションの96%に既知の脆弱性が存在している

これらのデータ分析にくわえ、弊社のお客様でもある大手SaaSプロバイダ様からの依頼により、同社ソフトウェア開発環境に対するレッドチーム演習を実施したところ、Unit 42のリサーチャー1人がほんの2-3日で、同社ソフトウェア開発上の重大な問題を発見しました。この問題が悪用された場合、このお客様はSolarWindsやKaseya VSAへの攻撃にも比肩する攻撃を受けていた可能性があります。

本調査で得られた主な知見

サプライチェーン衛生がうまくいっていないとクラウドインフラに影響がおよぶ

弊社のレッドチーム演習による開発環境検証をご依頼くださったお客様は、一般には成熟したクラウドのセキュリティ態勢をとっていると考えられているプロバイダ様です。それでもその開発環境には複数の重大な設定ミスや脆弱性があり、Unit 42チームはものの数日で同顧客のクラウドインフラ乗っ取りに成功してしまいました。

「サードパーティ製コードすなわちセキュアなコード」ではない

サプライチェーン攻撃の多くは、攻撃者がいずれかのベンダを侵害し、そのベンダの顧客が使用しているソフトウェアに悪意のあるコードを挿入しています。同様にして、クラウドインフラでも、十分検査されていないサードパーティ製コードにセキュリティ上の問題があれば、そこを突いてきた攻撃者がクラウド環境の機微なデータにアクセスできてしまう可能性があります。さらに、組織がソースを確認しない限り、サードパーティ製コードをAPT(Advanced Persistent Threat、高度で持続的な攻撃、持続的標的型攻撃)を含む誰からでも入手してしまう可能性があります。

「Unit 42 Cloud Threat Report, 2H 2021」には、公開されているTerraformモジュールを分析したデータが含まれています。左のグラフは、なかに含まれている構成ミス数ごとにモジュールを分類したものです。右のグラフは、構成ミスの種類とその割合を示しています。
図1 左: なかに含まれている構成ミス数ごとに該当するモジュール数を分類 右: 構成ミスの種類とその割合(出典: Unit 42 Cloud Threat Report, 2H 2021)

組織のセキュリティにはシフトレフトが必要

サプライチェーンの脅威にあまり注意が払われていないこともあって、各部門はDevOpsセキュリティを重要視してきませんでした。しかしながら、クラウドネイティブアプリケーションの依存関係チェーンは深く、それらの依存関係にもさらにそれ自体の依存関係が存在しています。DevOpsチームとセキュリティチームは、すべてのクラウドワークロードのBOM(部品表)を可視化して、そこから依存関係チェーンの各段階でリスクを評価し、防御態勢を確立していかねばなりません。

クラウドでソフトウェアサプライチェーンを保護

本レポートでは、ソフトウェアサプライチェーン攻撃そのものについての重要な知見を提供しつつ、この増大する脅威から組織を守るためにすぐにできることについて重点的にご紹介しています。

Unit 42 Cloud Threat Report, 2H 2021」はこちらからいますぐ無料ダウンロード可能です(現在は英語版となります)。本レポートをご一読いただくことで、サプライチェーンの一般的な問題がクラウドセキュリティを損ってしまうメカニズムや、自社サプライチェーンを信頼できるものにしていくために組織に何ができるのかについて学ぶことができます。

追加リソース