『Unit 42クラウド脅威レポート』2020年秋版の注目ポイント

By

Category: Reports, Unit 42

Tags: , , , ,

This conceptual image illustrates the concept of misconfigurations in the cloud. IAM misconfigurations are a key concern outlined in the Unit 42 Cloud Threat Report, 2H 2020.

This post is also available in: English (英語)

概要

クラウドプラットフォームのセキュリティ強化において、IDとアクセスは分かちがたく結びついています。そして環境の適切な設定・管理がなされていなければ、セキュリティは確保できません。

年2回発行される『Unit 42クラウド脅威レポート』の2020年秋版では、リサーチャーがレッドチーム演習を行い、パブリック クラウド データをスキャンしたほか、パロアルトネットワークスが所有するデータを取り出してIDおよびアクセス管理(IAM)に関する脅威の状況を調査し、組織でのIAM設定の改善が可能な箇所を特定しました。

レッドチーム演習時、Unit 42リサーチャーはIAMの設定ミスを見つけ、あるお客様のAmazon Web Services (AWS)のクラウド環境全体に対する管理者アクセス権を得ることができました。実際にこのようなデータ侵害が起きれば、数百万ドルもの被害が生じる可能性があります。これらの例からも、IAMが適切に保護されていないと組織に深刻な影響がもたらされるのは明らかです。

重要な調査結果

以下の注目ポイントでは、レポートで概説している調査結果と推奨事項を補完する、いくつかの具体的なデータについて掘り下げて検証しています。

不正な外部アクセス

レッドチーム演習において、リサーチャーは適切に設定されていなかったIAMロール トラスト ポリシー「AssumeRole」のエクスプロイトに成功し、機密リソースへの一時的なアクセス権を獲得しました。Unit 42チームは、匿名のAWSアカウントを使用してこれを達成しました。重要なのは、AWSロールの獲得を試みるたびにAWS CloudTrailイベントが生成されることです。そこで、各組織はCloudTrailログを監視し、AssumeRoleイベントが発生していないかどうかを確認し、承認済みAWSアカウントのみが、組織の環境にこうしたアクションを実行できるようにすることが重要です。認証されていないアクセスが許可される根本的要因はIAMロール トラスト ポリシーが寛容すぎることでした。不適切に設定されたポリシーでは、アカウントに存在しないAWSユーザーがロールを獲得し、アクセス権を得ることが許可されていました。その結果、サービス拒否(DOS)やランサムウェアなどの、組織に対する攻撃が多数発生し、Advanced Persistent Threat (APT攻撃)を許すことすらありました。

横展開と特権昇格

同じレッドチーム演習でUnit 42リサーチャーは、フローログ管理関連の設定が適切でないIAMロールを使い、非管理者のアクセス権で横展開することができました。その後、制限のある開発者アカウントから特権を昇格し、永続性の獲得にも成功しました。管理者アカウントを乗っ取ったわけです。Unit 42リサーチャーは、フローログ関連の寛容すぎるIAMロールを使い、クラウド環境全体に対する管理アクセス権を得て、クラウドリソースを何の制約もなく操作できるようになりました。さらに、Amazon Elastic Compute Cloud (EC2)とRelational Database Service (RDS)の新しいインスタンスを作成したり、ユーザー権限やポリシー権限を変更したりできるようになりました。攻撃者は、この方法により、ランサムウェアで機密データを盗み、インフラストラクチャを破壊し、操作をロックダウンすることができます。

JAPACとEMEAの組織が示す貧弱なクラウドID衛生

Unit 42リサーチャーの調査によると、日本とアジア太平洋(JAPAC)の組織の75%と、ヨーロッパ、中東、およびアフリカ(EMEA)の組織の74%が、Google Cloudを使用して管理者権限でワークロードを実行していました。これに対して、南北アメリカでは、管理者権限でワークロードを実行している組織は54%にすぎません。ベストプラクティスは、最小権限の原則に基づいてワークロードを実行し、ユーザーのアクセス権を必要最小限に制限することです。攻撃者が管理者権限でワークロードを侵害できる場合、その攻撃者は昇格したアクセス権と同レベルの権限を得ることになります。これにより、攻撃者は組織に対し、クラウドリソースを使用してクリプトジャックなどの攻撃を簡単に実行できるようになります。

多くの組織がクリプトジャック攻撃を経験

Unit 42チームは、IAMリサーチの結果のほか、世界中のクラウドインフラストラクチャの全体的なセキュリティ体制について継続中の調査に関する最新情報も提供しました。Unit 42リサーチの調査結果によると、クラウドインフラストラクチャを管理する世界中の組織の少なくとも23%がクリプトジャック攻撃の被害を受けています。クラウド環境が悪意のある暗号通貨マイニングを中心とした活動を行うサイバー犯罪グループの標的となっていることもわかりました。悪意のある暗号通貨マイニングは依然として、クラウドインフラストラクチャを標的とした最も注目を集める攻撃の1つです。

ビジネスを強化する3つの目標

適切に設定されていないIAMロールやポリシーを悪用したエクスプロイトからクラウドインフラストラクチャを保護することで、クラウドインフラストラクチャの防御は向上・強化できます。各組織が本レポートで紹介したさまざまな手法を使えば、次の3つの点でクラウドセキュリティを維持しやすくなります。

  • クラウド特有の重大セキュリティインシデントにつながりかねないIAMロール・ポリシーを標的とした最新の攻撃者戦術情報を得る
  • DevOpsとセキュリティチームを強化し、脅威に先手を打って、クラウド環境の保護を強化する
  • 「安全なクラウドは、組織的に有意義な手順でIAMロールやポリシーを強化した場合にのみ実現可能」という考えを浸透させる

詳細な調査結果と組織に実装すべきベストプラクティスについては、『Unit 42クラウド脅威レポート』2020年秋版の全文をご覧ください。

その他の資料