クラウドセキュリティの穴を塞ぐ--一般的な攻撃手法と防衛手段

Danny Palmer (ZDNET.com) 翻訳校正: 川村インターナショナル

2022-06-17 07:30

 クラウドのアプリケーションやサービスを利用すれば、ビジネスツール、情報、ソフトウェアにどこからでもアクセスでき、従業員はオフィス勤務でも、リモートワークでも、ハイブリッドワークでも生産性を発揮することができる。勤務場所は重要ではない。必要なものはすべて「クラウド」にある。

 しかし、クラウドコンピューティングの使用とリモートワークへの移行から恩恵を受けているのは、従業員と企業だけではない。そうした変化は、サイバー犯罪者や悪意あるハッカーにとっても有益であることが明らかになっており、クレジットカード情報やパスワード、秘密の知的財産などの機密データを不注意なクラウドユーザーから盗む新たな機会を与えている。

 悪意あるハッカーは、ネットワークに侵入してこの情報にアクセスする方法を見つけ出してきた。よく用いられたのは、フィッシング攻撃や、トロイの木馬型マルウェアをひそかに仕込む戦術だ。それらの手口は、企業ネットワークへのアクセスを試みるサイバー犯罪者が今でもよく使用している。クラウドコンピューティングは、こうした古い攻撃の新たな標的を生み出す可能性がある。

 調査によると、半数以上の企業はクラウドアカウントのパスワードセキュリティが不十分で、14文字未満の脆弱なパスワードを許可しており、クラウドアカウントの44%は、別のアカウントにリンクされたパスワードの使い回しを認めているという。

 クラウドアカウントの脆弱なパスワードは、攻撃者の格好の標的だ。攻撃者は、インターネットに面したログインポータルを持つアプリケーションを探して、自動化された総当たり攻撃を仕掛け、単純なパスワードやよく使われるパスワードを順番に試していき、アカウントを侵害しようとする。脆弱なパスワードは、これらの手口で突破されやすい。

 個人の電子メールアドレス、オンラインショッピング、ストリーミングサービスなど、ユーザーの他のアカウントの流出パスワードを入手したサイバー犯罪者が、企業のクラウドアカウントで使えないか試す可能性もある。パスワードの使い回しは今なお一般的に行われているため、この手口によって、サイバー犯罪者にクラウドアプリケーションスイートやその他のエンタープライズサービスへアクセスされてしまうかもしれない。

 サイバー犯罪者は正当なユーザー名とパスワードを使って、何らかの形でリモートワークをしている可能性が高いユーザーの正当なアカウントにアクセスしているため、サービスへのアクセスが不審に思われる可能性は低い。

 たとえば、犯罪者は正当なアカウントへのアクセスを使用して、ユーザーの電子メールを乗っ取り、機密情報の窃取、マルウェアやランサムウェアのインストールを目的として、悪意あるリンクを連絡先に送信することが考えられる。そのリンクは自分が信頼する知人から届いたものなので、標的は疑いを持たないかもしれない。

 だが、サイバー攻撃を仕掛けるために、仲介者をだます必要さえない場合もある。調査では、クラウドユーザー、サービス、リソースの99%が過剰な権限を提供していることが示されている。これらの権限(管理者権限など)は、ほとんどの場合、特に普通のユーザーには全く必要のないものだ。

 しかし、クラウドサービスの設定に不備があり、管理者権限を付与すべきでないユーザーに付与している場合、ハッカーは単純なパスワードを足がかりとして、クラウド環境のリソースの改ざん、作成、削除ができるほか、そうしたパスワードを利用してネットワーク内を移動し、攻撃の範囲を拡大することができる。また、攻撃者が自身の作成したアカウントを隠ぺいすれば、標的となった組織は全く気づかないだろう。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]