2021年11月30日 08時00分 公開
特集/連載

「大手SaaSの特権を奪取せよ」――レッドチーム演習の結果は?模擬攻撃から得られる教訓

ある大手SaaSプロバイダーがPalo Alto NetworksのUnit 42にレッドチーム演習を依頼した。このレッドチーム演習の全過程を紹介する。Unit 42の模擬攻撃は成功したのか?

[Alex Scroxton,Computer Weekly]

 Palo Alto Networksは、Unit 42(同社の脅威インテリジェンスチーム)がある大手SaaSプロバイダー(社名非公開)に侵入し、サプライチェーンに攻撃を「仕掛けた」ストーリーを公開した。

 このSaaSプロバイダー(以下、クライアント)はSolarWindsのインシデントに危惧を抱き、自社のソフトウェア開発環境へのレッドチーム演習をUnit 42に依頼した。

攻撃開始

 Unit 42のレッドチームは、クライアントのソフトウェア開発環境の構成ミスを利用して制御権を手に入れた。この際、ロシアに関係するAPT(持続的標的型脅威)グループがSolarWindsのプラットフォームに侵入して悪意のあるコードを仕込んだ手口を利用した。

iStock.com/Gugurat

 レッドチームはクライアントのCI(継続的インテグレーション)環境への制限付きアクセス権を有する開発者を装い、そこからより広範な管理者権限の取得を試みた。これはSolarWindsでの手口とは多少異なる。

 レッドチームには、クライアントの全開発者に割り当てられるDevOpsのロールが同じく割り当てられた。このロールには社内GitLabリポジトリへのアクセス権も含まれる。これがこのクライアントの最初の失敗だ。開発者ごとに職務を分離するというベストプラクティスに従っていれば、レッドチームによる模擬攻撃は失敗した可能性がある。

IAMキーの取得と特権昇格

 レッドチームは、これを足場にしてクライアントのクラウドストレージから全GitLabリポジトリをダウンロードした。この時点で154個のリポジトリから仮想マシン、データベース、ストレージインスタンス、ネットワークインフラ、ネットワークゲートウェイなど、約8万件のクラウドリソースを見つけた。問題は、IAM(IDとアクセス管理)のキーペアを26個発見したことだ。

 レッドチームは盗み出したIAMキーを使って特権に昇格し、「Amazon Web Services」(AWS)の「iam:PassRole」(訳注:AWSのサービスにIAMロールを渡す定義)の構成ミスを悪用した。

 アクセス権を取得したレッドチームは、クライアントのクラウドで任意のアクションを実行する完全な能力を得たことになる。クライアントのソフトウェア開発パイプラインに悪意のあるコードを挿入してCI運用に危害を加えることもできたが、これは契約対象外なのでこの時点でレッドチーム演習は停止された。

 その後クライアントのセキュリティ運用と対策を分析し、「Amazon GuardDuty」(訳注:マネージド型脅威検出サービス)によってクライアントのSOC(セキュリティオペレーションセンター)で(模擬攻撃に起因する)不審なアクティビティーが判明した。Amazon GuardDutyは意図通りに機能していたが、クライアントのアカウントの中に正しく構成されていなかったものもあり、見つかったのは模擬攻撃のごく一部だけだった。

 警告を受けたSOCチームはレッドチームが侵害に使ったIAMキーを特定し、SOAR(Security Orchestration, Automation and Response)ツールを使ってそのキーを非アクティブにしてアクセスを遮断した。

セキュリティ計画

 Unit 42はクライアントに協力し、「シフトレフト」セキュリティ計画を実装した。この計画には、開発者によるDevOpsリポジトリの誤操作を防ぐ厳密なロールベースのアクセス制御、企業外のネットワークからのAPI要求を検出するルールの実装、IAMアカウントに向けられるAPI要求を検出するルールの実装などが盛り込まれた。

 「クライアントは成熟したセキュリティ体制と考えられるほぼ全てを維持していた。それでも、Unit 42はセキュリティスキャンによって21%の構成ミスと脆弱(ぜいじゃく)性を見つけている。これは業界平均の20%に相当する」とUnit 42はレポートに記している。

 セキュリティコミュニティーがシフトレフトについて議論しているにもかかわらずDevOpsのセキュリティがおろそかにされているのは、サプライチェーンの脅威への注意が不足している点にあるとUnit 42は考えている。

 開発サイクルの最後にコードをスキャンすれば十分だという考えがあまりにも多い。この誤った考えがなくならない限り、クラウド開発環境は攻撃者の標的になり続けるだろう。

ITmedia マーケティング新着記事

news212.jpg

面白い広告は記憶に残るが、ユーモアを活用できている企業は少ない――Oracle調査
ユーモアを取り入れたブランドは支持され、ロイヤルティーが高まり、顧客は再び購入した...

news054.jpg

マクドナルドvsバーガーキング ネット戦略がウマいのはどっち?
「ITmedia マーケティング」では、気になるマーケティングトレンドをeBookにまとめて不定...

news118.jpg

マーケターなら知っておきたい「Googleが次に可能にすること」 Google I/O 2022で発表の新機能まとめ
「検索」「地図」「ショッピング」他、Googleが年次開発者会議「Google I/O 2022」で紹介...