Google Cloudのサイバーセキュリティ対策チームによる新たなレポートによると、認証情報は企業セキュリティにおける最大の弱点であり、Google Cloudユーザーにおけるセキュリティ侵害要因の60%が認証情報の脆弱性によるものであることが明らかになりました。同社のセキュリティグループは、最新の脅威ホライズンレポートの中で、これらの弱点を強化するには、強力なID管理ガードレールを含むゼロトラストの細部に基本的な注意を払う必要があると述べています。
さらに、Google Cloud チームは、構成ミスの問題が侵害要因の 19% を占めていると報告しました。これは、ファイアウォールの構成ミスなどの問題によって公開されたアプリケーション プログラミング インターフェースや機密性の高いユーザー インターフェースなどの他の侵害要因とも関連しています (図 A )。
図A
Google Cloudの脅威調査・分析責任者であるマット・シェルトン氏は、「四半期ごとに同じ活動が見られますが、攻撃者はその手法をより巧妙化させています」と述べています。「私たちは引き続きIAM(アイデンティティ・アクセス・アカウント)を最大の問題と見ており、今後数四半期もこの傾向が続くと考えています。アカウント認証情報の盗難や設定ミスは、昨今誰もが狙っているものです」と、シェルトン氏は付け加えました。
ジャンプ先:
- 攻撃者はプロジェクト間の悪用や過度に寛容なキーを好む
- 20秒サイバー手洗い:IAM衛生を向上させる方法
- Androidアプリに潜むマルウェア
- CI/CD DevOpsパイプラインの脆弱性
- 多層防御が重要
攻撃者はプロジェクト間の悪用や過度に寛容なキーを好む
Google Cloud の企業ユーザー向けに作成されたこのレポートでは、セキュリティ オペレーション センター向けの Google のセキュリティ ソフトウェア スイートである Chronicle の 2023 年第 1 四半期の匿名化されたアラート統計を分析し、侵害を誘発するリスク要因を特定しました。
2023年第1四半期に最も多く報告されたアラートは、アクセストークン生成権限のプロジェクト間における不正使用に関するもので、アラート全体の約75%を占めました。これは大まかに言えば、権限アクセス管理の問題であり、多くの場合、過剰にプロビジョニングされたアカウントに関係しています。ITチームは、稼働時間の向上と複雑さの軽減を目的として、アカウントに過剰なアクセス権限を付与することで、最小権限の概念に違反しています。
シェルトン氏は、プロジェクト間のIDアクセスではアカウントの過剰プロビジョニングが一般的であると指摘し、ユーザーは作業を円滑に進めるために、過剰な権限を持つサービスアカウントを作成するのが一般的だと説明した。攻撃者はこれらの認証情報を盗み、別のプロジェクトへのアクセスや権限の昇格といったアクションを実行しようとする。
「過剰にプロビジョニングされたアカウントは通常、サービスまたは特権管理者アカウントに適用されるため、IDが盗まれた場合の影響は、エンドユーザーアカウントの場合よりも深刻です」とシェルトン氏は述べた。
SSHキーの問題
過剰プロビジョニングの失敗例の一つとして、セキュアシェルキーの過剰使用が挙げられます。セキュアシェルキーは、安全でないオープンネットワーク上でマシン間の通信を可能にするために設計された、暗号化されたセキュアシェルネットワークプロトコルへのアクセスを提供します。SSHキーは、ファイル転送、ネットワーク管理、オペレーティングシステムへのアクセスなどのリモート操作を実行するために使用されます。
「管理者としてGCP Linuxインスタンスにログインする場合、エンドポイントに秘密鍵が保存されており、悪意のある人物がそれを盗んでログインに利用する可能性があります。これは長年にわたり存在する攻撃ベクトルです。私たちはそれを乗り越えてきましたが、私たちのレポートが示すように、業界では依然として広く使用されています」とシェルトン氏は述べています。「これは、追跡する必要がある新たなIDストアです。優先度の低いシステムにSSHキーを配置する人はいません。常に、機密データを保持するバックエンドのUnixシステムに配置されています」(図B)。
図B
シェルトン氏は、より良い戦術はGoogle IAMツールに付属するユーザー名とパスワードを使うことだと述べた。「これはゼロトラストです。アカウントとパスワードは1つ、多要素認証は1つ、無効化・再有効化は一元管理され、ログも一元管理されます。ですから、IAMは確かに主要なセキュリティ侵害経路の一つではありますが、ゼロトラストの原則に基づいたツールでアカウントを保護することができるというのが私たちの推奨です」と彼は述べた。
20秒サイバー手洗い:IAM衛生を向上させる方法
Google Cloud セキュリティ グループは、ID 管理の健全性を向上させるための重要な提案を提供しました。
- 悪意のあるファイルの保存を防ぐために、エンドポイント保護ツールをインストールします。
- 外部および内部のクラウド インフラストラクチャに対して脆弱性スキャンを実行し、疑わしい資産を特定し、発見された脆弱性を修正します。
- クラウド ログを調べて認証情報管理を改善し、セキュリティ侵害を引き起こした可能性のある既存のリスクと元々のリスクを特定して修正します。
Androidアプリに潜むマルウェア
研究者らは、マルウェアをダウンロードする前にGoogle Playストアのマルウェア検出を回避しようとするAndroidアプリの事例も特定しました。「バージョニング」と呼ばれるこの手法では、Playストアの信頼を得たアプリのバージョンを配布し、その後、同じアプリの悪意のあるアップデートをリリースします。Google Cloudのレポートでは、侵入したデバイスから自動送金サービス(ATS)プロトコルを用いて送金を行うバンキング型マルウェア「SharkBot」の亜種が例として挙げられています。
シェルトン氏によると、Google Play に現れた SharkBot の亜種は機能が縮小されており、疑わしいアプリの検出を困難にするクローキング技術が使われているという。
「バージョニングは非常に重要です。GoogleはGoogle Playストアのアプリ審査に多大な時間と労力を費やしてきました」とシェルトン氏は述べた。「よくあるケースとしては、アプリがGoogle Playストアに公開され、審査を受けると、完全に無害で、マルウェアは一切含まれていないことが分かります。そして、バージョニングを利用して、ゲームやコンシューマーツールとしてユーザーのデバイスにインストールされ、サードパーティのサイトにアクセスすると、アプリはユーザーを重要なターゲットと判断すると、悪意のあるコードをダウンロードし、悪意のある行為を実行します」と彼は付け加えた。
これは個人だけでなく企業にとっても問題だと彼は述べた。これらのアプリは金銭を盗んだり金融取引を行ったりするだけでなく、情報も盗む可能性がある。
「人々が私用スマートフォンから仕事用のアカウントにログインし、情報窃取ツールがスマートフォンから認証情報を盗み出し、攻撃者に送信するという事態に、私は夜も眠れずにいます。これは、盗まれた認証情報がクラウドだけでなくモバイルでも重要になるという話にまさに当てはまります」とシェルトン氏は述べた。
CI/CD DevOpsパイプラインの脆弱性
Google のレポートでは、継続的インテグレーション/開発プロセスにおける DevOps の脆弱性も調査し、認証情報や認証トークンの侵害がソースコード インシデントの要因となることが多いと指摘しています。
調査によると、「コードのホスティングや継続的インテグレーション/継続的開発プロセスに関与するサードパーティのサービスが侵害され、そのサービスのユーザーが侵害されたり、悪意のある内部者によるインシデントや設定ミスが発生したりした事例がある」という。
多層防御が重要
シェルトン氏は、ゼロトラストプロトコルと多層防御の原則に重点を置くことで、攻撃者を根本からブロックするのに大いに役立つと述べた。
「このレポートが示しているのは、オンプレミスで長年行ってきたように、クラウドでも多層防御を実践する必要があるということです。つまり、検知戦略を多層化し、脅威の全体像を把握する必要があるということです。常に侵害を想定し、多層的なセキュリティ戦略を構築する必要があるのです」と彼は述べた。
シェルトン氏はまた、この報告書から得られる重要なポイントは、攻撃者がより巧妙になっても、特に主要な攻撃対象である認証情報や IAM の脆弱性の悪用全般において、ゼロトラスト プロトコルが極めて重要であるということだと述べた。
「結局のところ、サイバー衛生にかかっています。今日では、基本を完璧に実践しなければなりません」と彼は述べた。「高度な攻撃についてはよく議論されますが、結局のところ、敵は目的を達成するために最低限のことだけをすればいいのです。」
