ある大手SaaSプロバイダーがPalo Alto NetworksのUnit 42にレッドチーム演習を依頼した。このレッドチーム演習の全過程を紹介する。Unit 42の模擬攻撃は成功したのか?
Palo Alto Networksは、Unit 42(同社の脅威インテリジェンスチーム)がある大手SaaSプロバイダー(社名非公開)に侵入し、サプライチェーンに攻撃を「仕掛けた」ストーリーを公開した。
このSaaSプロバイダー(以下、クライアント)はSolarWindsのインシデントに危惧を抱き、自社のソフトウェア開発環境へのレッドチーム演習をUnit 42に依頼した。
Unit 42のレッドチームは、クライアントのソフトウェア開発環境の構成ミスを利用して制御権を手に入れた。この際、ロシアに関係するAPT(持続的標的型脅威)グループがSolarWindsのプラットフォームに侵入して悪意のあるコードを仕込んだ手口を利用した。
レッドチームはクライアントのCI(継続的インテグレーション)環境への制限付きアクセス権を有する開発者を装い、そこからより広範な管理者権限の取得を試みた。これはSolarWindsでの手口とは多少異なる。
レッドチームには、クライアントの全開発者に割り当てられるDevOpsのロールが同じく割り当てられた。このロールには社内GitLabリポジトリへのアクセス権も含まれる。これがこのクライアントの最初の失敗だ。開発者ごとに職務を分離するというベストプラクティスに従っていれば、レッドチームによる模擬攻撃は失敗した可能性がある。
レッドチームは、これを足場にしてクライアントのクラウドストレージから全GitLabリポジトリをダウンロードした。この時点で154個のリポジトリから仮想マシン、データベース、ストレージインスタンス、ネットワークインフラ、ネットワークゲートウェイなど、約8万件のクラウドリソースを見つけた。問題は、IAM(IDとアクセス管理)のキーペアを26個発見したことだ。
レッドチームは盗み出したIAMキーを使って特権に昇格し、「Amazon Web Services」(AWS)の「iam:PassRole」(訳注:AWSのサービスにIAMロールを渡す定義)の構成ミスを悪用した。
アクセス権を取得したレッドチームは、クライアントのクラウドで任意のアクションを実行する完全な能力を得たことになる。クライアントのソフトウェア開発パイプラインに悪意のあるコードを挿入してCI運用に危害を加えることもできたが、これは契約対象外なのでこの時点でレッドチーム演習は停止された。
その後クライアントのセキュリティ運用と対策を分析し、「Amazon GuardDuty」(訳注:マネージド型脅威検出サービス)によってクライアントのSOC(セキュリティオペレーションセンター)で(模擬攻撃に起因する)不審なアクティビティーが判明した。Amazon GuardDutyは意図通りに機能していたが、クライアントのアカウントの中に正しく構成されていなかったものもあり、見つかったのは模擬攻撃のごく一部だけだった。
警告を受けたSOCチームはレッドチームが侵害に使ったIAMキーを特定し、SOAR(Security Orchestration, Automation and Response)ツールを使ってそのキーを非アクティブにしてアクセスを遮断した。
Unit 42はクライアントに協力し、「シフトレフト」セキュリティ計画を実装した。この計画には、開発者によるDevOpsリポジトリの誤操作を防ぐ厳密なロールベースのアクセス制御、企業外のネットワークからのAPI要求を検出するルールの実装、IAMアカウントに向けられるAPI要求を検出するルールの実装などが盛り込まれた。
「クライアントは成熟したセキュリティ体制と考えられるほぼ全てを維持していた。それでも、Unit 42はセキュリティスキャンによって21%の構成ミスと脆弱(ぜいじゃく)性を見つけている。これは業界平均の20%に相当する」とUnit 42はレポートに記している。
セキュリティコミュニティーがシフトレフトについて議論しているにもかかわらずDevOpsのセキュリティがおろそかにされているのは、サプライチェーンの脅威への注意が不足している点にあるとUnit 42は考えている。
開発サイクルの最後にコードをスキャンすれば十分だという考えがあまりにも多い。この誤った考えがなくならない限り、クラウド開発環境は攻撃者の標的になり続けるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
iStock.com/Gugurat
