編集部からのお知らせ
新着の記事まとめPDF「NTT」
おすすめ記事まとめ「MLOps」

クラウドセキュリティの穴を塞ぐ--一般的な攻撃手法と防衛手段

Danny Palmer (ZDNet.com) 翻訳校正: 川村インターナショナル

2022-06-17 07:30

 クラウドのアプリケーションやサービスを利用すれば、ビジネスツール、情報、ソフトウェアにどこからでもアクセスでき、従業員はオフィス勤務でも、リモートワークでも、ハイブリッドワークでも生産性を発揮することができる。勤務場所は重要ではない。必要なものはすべて「クラウド」にある。

 しかし、クラウドコンピューティングの使用とリモートワークへの移行から恩恵を受けているのは、従業員と企業だけではない。そうした変化は、サイバー犯罪者や悪意あるハッカーにとっても有益であることが明らかになっており、クレジットカード情報やパスワード、秘密の知的財産などの機密データを不注意なクラウドユーザーから盗む新たな機会を与えている。

 悪意あるハッカーは、ネットワークに侵入してこの情報にアクセスする方法を見つけ出してきた。よく用いられたのは、フィッシング攻撃や、トロイの木馬型マルウェアをひそかに仕込む戦術だ。それらの手口は、企業ネットワークへのアクセスを試みるサイバー犯罪者が今でもよく使用している。クラウドコンピューティングは、こうした古い攻撃の新たな標的を生み出す可能性がある。

 調査によると、半数以上の企業はクラウドアカウントのパスワードセキュリティが不十分で、14文字未満の脆弱なパスワードを許可しており、クラウドアカウントの44%は、別のアカウントにリンクされたパスワードの使い回しを認めているという。

 クラウドアカウントの脆弱なパスワードは、攻撃者の格好の標的だ。攻撃者は、インターネットに面したログインポータルを持つアプリケーションを探して、自動化された総当たり攻撃を仕掛け、単純なパスワードやよく使われるパスワードを順番に試していき、アカウントを侵害しようとする。脆弱なパスワードは、これらの手口で突破されやすい。

 個人の電子メールアドレス、オンラインショッピング、ストリーミングサービスなど、ユーザーの他のアカウントの流出パスワードを入手したサイバー犯罪者が、企業のクラウドアカウントで使えないか試す可能性もある。パスワードの使い回しは今なお一般的に行われているため、この手口によって、サイバー犯罪者にクラウドアプリケーションスイートやその他のエンタープライズサービスへアクセスされてしまうかもしれない。

 サイバー犯罪者は正当なユーザー名とパスワードを使って、何らかの形でリモートワークをしている可能性が高いユーザーの正当なアカウントにアクセスしているため、サービスへのアクセスが不審に思われる可能性は低い。

 たとえば、犯罪者は正当なアカウントへのアクセスを使用して、ユーザーの電子メールを乗っ取り、機密情報の窃取、マルウェアやランサムウェアのインストールを目的として、悪意あるリンクを連絡先に送信することが考えられる。そのリンクは自分が信頼する知人から届いたものなので、標的は疑いを持たないかもしれない。

 だが、サイバー攻撃を仕掛けるために、仲介者をだます必要さえない場合もある。調査では、クラウドユーザー、サービス、リソースの99%が過剰な権限を提供していることが示されている。これらの権限(管理者権限など)は、ほとんどの場合、特に普通のユーザーには全く必要のないものだ。

 しかし、クラウドサービスの設定に不備があり、管理者権限を付与すべきでないユーザーに付与している場合、ハッカーは単純なパスワードを足がかりとして、クラウド環境のリソースの改ざん、作成、削除ができるほか、そうしたパスワードを利用してネットワーク内を移動し、攻撃の範囲を拡大することができる。また、攻撃者が自身の作成したアカウントを隠ぺいすれば、標的となった組織は全く気づかないだろう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    アンチウイルス ソフトウェア10製品の性能を徹底比較!独立機関による詳細なテスト結果が明らかに

  2. 経営

    10年先を見据えた働き方--Microsoft Teamsを軸に社員の働きやすさと経営メリットを両立

  3. セキュリティ

    6000台強のエンドポイントを保護するために、サッポログループが選定した次世代アンチウイルス

  4. セキュリティ

    ローカルブレイクアウトとセキュリティ-SaaS、Web会議があたりまえになる時代の企業インフラ構築

  5. 運用管理

    マンガでわかるスーパーマーケット改革、店長とIT部門が「AIとDXで トゥギャザー」するための秘策

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]