ラックは1月30日、企業や官公庁で発生したセキュリティインシデントに緊急対応する「サイバー救急センター」での2019年の対応状況を報告した。その中でクラウドのIaaSに関連するインシデントの傾向や対策などを解説している。
サイバー救急センターは、24時間体制で企業や官公庁で発生するセキュリティインシデントの緊急対応を支援するサービスとして2006年から提供している。2019年は約300件のインシデントに対応し、内訳はマルウェア関連が50%、サーバーへの不正侵入が26%、内部犯行が9%などだった。
特に、サーバーへの不正侵入に関する事案では、企業や官公庁のITシステムのクラウド化が進んでいることで、近年は対応件数が増加しているという。その状況をグループリーダーの初田淳一氏が解説してくれた。
インシデントケース1:テスト環境からの不正アクセス
まず多いのは、IaaS上に構築したテスト環境に起因するものになる。あるケースでは、仮想マシンへの不正アクセスが突然検知され、サイバー救急センターが初動対応したところ、テスト環境に構築している仮想サーバーから本番環境の仮想サーバーへの侵入が見つかった。こうしたケースでは、パスワードの強度が弱かったり、ネットワークのアクセス制御が不適切だったりすることが原因になりやすいという。
初田氏によれば、実はクラウドプロバイダー側が初期設定したパスワードの方が堅牢で、後にユーザーがテスト環境を容易に利用できるよう弱いパスワードに変更してしまい、そのままになっているケースが少なくない。またネットワークでも、システム構築時と運用段階での設定の変更が原因になりやすい。
「例えば、調査であるポートが開放されていたことが判明した。システム構築を担当したSIer側にヒアリングすると、『ポートは空いていないはず』と回答され、違和感を覚えた。詳しく調べると、実はユーザーが構築後にポートを開けてしまっていたことが分かった。こうしたコミュニケーションギャップも根本原因になる」
サービス利用時のアクセスキーやアカウントキーといった認証情報の管理不備も原因になりやすい。あるインシデントでは、プロバイダーからの請求額が突然高額になり、数台規模のはずの仮想サーバーが100台に増えていたという。調査の結果、第三者がコンテンツ管理システム(CMS)のソフトウェアの脆弱性を悪用してアクセスキーを不正に入手した可能性が浮上した。第三者は、アクセスキーを使って密かに仮想サーバーのインスタンスを増やし、仮想通貨の発掘を行っていた。
インシデントケース2:認証情報の管理不備
この事案で脆弱性の悪用が直接的な原因かは不明だが、第三者が不正アクセスを試みてシステムの脆弱性や設定の不備をスキャンする行為は実際に行われるという。同社のセキュリティ監視センター「JSOC」では、2019年8月の初旬、フランスのIPアドレスを発信元とする不審な通信を検知し、従前はほぼゼロ件だったが1日で4500件を超えたことがあった。また、アクセスキーを複数のユーザーで使い回すケースも多く、業務委託先など外部の関係者とメールやチャットツールなどで共有している場合も少なくないという。
初田氏は、基本的にIaaSではプロバイダー側がサービス提供基盤で堅牢なセキュリティ対策を講じているため、提供基盤の上でシステムを構築、運用するユーザー側の対策が勘所だと解説する。同社では、不正アクセスにつながりかねない認証情報の漏えい監視や、クラウドサービス環境に合わせたフォレンジック調査、セキュリティ診断なども行っているという。
