ニュース
「有効期限の長い認証情報が重大なセキュリティリスクになる」と、Datadogが警告
2024年11月26日 12:22
Datadog Japan合同会社は25日、9月に米Datadogが実施した「2024年クラウドセキュリティの現状」という調査から、クラウド環境の脆弱性とセキュリティリスクについて説明会を開催した。
Datadog Japan シニアテクニカルエバンジェリストの萩野たいじ氏は、「今回のレポートで、クラウドプロバイダーにて認証情報を長期にわたって変更しないことが大きなリスクとなることが明らかになった」と語る。認証情報を長期間変更しないことで、ソースコード、コンテナイメージ、ビルドログ、アプリケーションアーティファクトなどから情報が漏えいするケースが頻発し、セキュリティ上の重大なリスクを引き起こしているという。
萩野氏は、クラウドセキュリティ侵害の最も一般的な原因がこうしたケースであることが過去の調査でも分かっているにも関わらず、「46%の組織がいまだに有効期限の長い認証情報を使用してユーザーを管理しており、古いものや現在使用されていないものも数多く存在する」と警告。その一例として、Google Cloudサービスアカウントの62%、AWS IAMユーザーの60%、Microsoft Entra IDアプリケーションの46%が、1年以上前のアクセスキーを使用しているとした。
特に大規模な環境ではリスクが増大するため、「長期間有効な認証情報の使用は避け、一時的な認証情報を提供するメカニズムを活用する必要がある」と萩野氏。その上で、「人間のユーザーに対しては、AWS IAM Identity Centerや、Okta、Microsoft Entra IDなどのソリューションを使用してID管理を一元化することが効果的。非効率でリスクの高い、従業員ごとの個別クラウドユーザーの使用は避けるべきだ」とした。
パブリックアクセスブロックの採用が急増
次に萩野氏は、これまでパブリックストレージパケットが多くのデータ侵害の原因となってきたことから、「クラウドストレージサービスにおけるパブリックアクセスブロック機能の採用が急速に増加している」と述べた。
AWS S3バケットの場合、パブリックなバケットの割合は前年とほぼ変わらず1.48%だが、パブリックアクセスブロックでカバーされているバケットの割合は79%に増加したという。これは、「問題の認識が広まったことと、AWSが新しく作成されたS3バケットのパブリックアクセスを積極的にブロックしていることが原因だろう」と萩野氏。
Azureでは、Blobストレージコンテナのパブリックなパケットの割合が前年の5%から2.6%に減少。一方で、約42%のAzure Blobストレージコンテナが、パブリックアクセスを積極的にブロックするストレージアカウント内にあるという。これについて萩野氏は、「マイクロソフトが、2023年11月以降に作成されたストレージアカウントへのパブリックアクセスをデフォルトでブロックしているためと考えられる」とし、「クラウドプロバイダーが提供する安全なメカニズムは、脆弱性や誤った構成を修正するのに役立つ強力な機能だ」と述べている。
急速に進むIMDSv2の導入
続いて萩野氏は、「AWSのEC2インスタンスにおいてIMDSv2の導入が急速に進んでいる」とした。IMDSv2は、EC2インスタンス内の認証情報の盗難を防ぐ機能で、この機能の採用が昨年の25%から47%にまで増加したという。
その要因について萩野氏は、「企業がセキュリティに対する意識を高めたことはもちろん、Amazon Linux 2023ディストリビューションで、IMDSv2をデフォルトで強制する設定が有効になったこともあるだろう。また、2024年3月にはAWSが新しいリージョン全体の設定として、特定のリージョンで作成されるすべてのインスタンスに対してIMDSv2をデフォルトで適用できるようにしたことも背景にある」とした。
ただし、多くのインスタンスは依然として脆弱で、長期間使用されるインスタンスでは新しいセキュリティ設定が適用されない場合もあることから、「組織はすべてのインスタンスにIMDSv2を適用するべきだ」と萩野氏は述べている。
マネージドKubernetesのリスク
クラウド環境で人気の高いマネージドKubernetesサービスだが、「今回の調査結果で、これらのサービスのデフォルト設定ではセキュリティが不十分であることが明らかになった」と萩野氏はいう。その一例として、多くのマネージドKubernetesクラスターがAPIサーバーをインターネットに公開していることや、4分の1以上のAmazon EKSクラスターで監査ログが有効になっていないことを挙げる。
また、調査対象となったクラスターの10%に、完全な管理者アクセス権限や、過度に寛容なデータアクセスを許可する危険なノードロールが存在していることも判明したという。
このことから萩野氏は、「デフォルトでセキュリティ機能が有効になっていない、あるいは強制されていないクラウドリソースでは、最適なセキュリティが得られない。デフォルト設定に頼るだけでなく、各クラウドプロバイダーの特性に合わせたセキュリティチューニングが必要不可欠だ。マネージドKubernetesクラスターのセキュリティを確保するには、APIサーバーの公開範囲の制限や、監査ログの有効化、適切なノードロールの設定など、追加のセキュリティ対策を積極的に実施する必要がある」とした。
サードパーティーとの統合で高まるリスク
続いて萩野氏は、「AWSのクラウド環境でサードパーティーと統合する際、不適切なIAMロール設定がアカウントのセキュリティリスクを高めることがある」と指摘。多くのベンダーが顧客のAWSアカウントと統合してインフラの監視やログ収集を行っているが、これらの統合には弱点があるという。
まず、サードパーティー統合用のIAMロールの10%が、アカウント内のすべてのデータへのアクセスを許可したり、アカウント全体を乗っ取る可能性のある過剰な権限を持っていたりすることが分かった。また、サードパーティー統合ロールの2%は、外部IDの使用を必須としておらず、これにより「混乱した代理」攻撃と呼ばれる手法で攻撃者に侵害される危険があることを、萩野氏は指摘している。
これらのリスクを軽減するには、「信頼できるサードパーティー統合の一覧を作成し、使用しなくなった際には必ずロールを削除すること。また、クラウド環境には最低限必要な権限のみを付与し、過剰な権限を持つユーザーを作らないことが重要だ」とした。
攻撃者の行動パターンは予測可能
次に萩野氏が指摘したのは、クラウドインシデントの多くが、クラウド認証情報の漏えいによって引き起こされていることだ。攻撃者は、人間とアプリケーションの両方からアイデンティティを侵害しているという。
萩野氏は、攻撃者がソースコードリポジトリやバージョン管理システムから認証情報を特定していると話す。ただし、一度侵入すると、攻撃者の行動は予測可能なパターンに従う傾向が多いという。
調査にて、攻撃者の行動パターンはすべてのプラットフォームで共通していることが分かったことから、行動を予測することで防御できる可能性も高まっている。
過度な特権を持つワークロードの危険性
最後に萩野氏が触れたのは、クラウド環境で実行される多くのワークロードが、過剰な特権を持っていたり、不適切な場所で実行されていたりする点だ。「AWSのワークロードの多くが、リスクが高く検出困難な権限を持っている。クラウドリソースにアクセスするには、EC2インスタンスのIAMロールやGoogle CloudのVMサービスアカウントなどを利用することが推奨されているが、これに過剰な権限を与えると重大なセキュリティリスクが生じる」と萩野氏。
例えば、AWSではEC2インスタンスの18%以上が過剰な権限を持ち、そのうち4.3%はほかのインスタンスに接続する権限がある。また、2.8%は新しい管理者ユーザーを作成する権限を持ち、17.6%はすべてのS3バケットにアクセスできる権限があるという。
クラウドワークロードは攻撃者にとって一般的な侵入経路となるため、「管理者アクセスだけでなく機密データへのアクセス権にも注意を払い、可能な限り制限することが重要だ」と萩野氏は述べた。
