「大手SaaSの特権を奪取せよ」――レッドチーム演習の結果は？：模擬攻撃から得られる教訓

ある大手SaaSプロバイダーがPalo Alto NetworksのUnit 42にレッドチーム演習を依頼した。このレッドチーム演習の全過程を紹介する。Unit 42の模擬攻撃は成功したのか？

[Alex Scroxton，Computer Weekly]

　Palo Alto Networksは、Unit 42（同社の脅威インテリジェンスチーム）がある大手SaaSプロバイダー（社名非公開）に侵入し、サプライチェーンに攻撃を「仕掛けた」ストーリーを公開した。

　このSaaSプロバイダー（以下、クライアント）はSolarWindsのインシデントに危惧を抱き、自社のソフトウェア開発環境へのレッドチーム演習をUnit 42に依頼した。

関連記事

• 現実の手法で自社を標的型攻撃する「レッドチーム演習」とは？
• ペネトレーションテスターは信頼できるのか

特別編集ブックレット

• 多要素認証が効かない「Pass-the-cookie攻撃」の仕組みと緩和策
• DDoS攻撃に対する誤解と効果的な緩和方法

攻撃開始

　Unit 42のレッドチームは、クライアントのソフトウェア開発環境の構成ミスを利用して制御権を手に入れた。この際、ロシアに関係するAPT（持続的標的型脅威）グループがSolarWindsのプラットフォームに侵入して悪意のあるコードを仕込んだ手口を利用した。

iStock.com/Gugurat

　レッドチームはクライアントのCI（継続的インテグレーション）環境への制限付きアクセス権を有する開発者を装い、そこからより広範な管理者権限の取得を試みた。これはSolarWindsでの手口とは多少異なる。

　レッドチームには、クライアントの全開発者に割り当てられるDevOpsのロールが同じく割り当てられた。このロールには社内GitLabリポジトリへのアクセス権も含まれる。これがこのクライアントの最初の失敗だ。開発者ごとに職務を分離するというベストプラクティスに従っていれば、レッドチームによる模擬攻撃は失敗した可能性がある。

IAMキーの取得と特権昇格

　レッドチームは、これを足場にしてクライアントのクラウドストレージから全GitLabリポジトリをダウンロードした。この時点で154個のリポジトリから仮想マシン、データベース、ストレージインスタンス、ネットワークインフラ、ネットワークゲートウェイなど、約8万件のクラウドリソースを見つけた。問題は、IAM（IDとアクセス管理）のキーペアを26個発見したことだ。

　レッドチームは盗み出したIAMキーを使って特権に昇格し、「Amazon Web Services」（AWS）の「iam:PassRole」（訳注：AWSのサービスにIAMロールを渡す定義）の構成ミスを悪用した。

　アクセス権を取得したレッドチームは、クライアントのクラウドで任意のアクションを実行する完全な能力を得たことになる。クライアントのソフトウェア開発パイプラインに悪意のあるコードを挿入してCI運用に危害を加えることもできたが、これは契約対象外なのでこの時点でレッドチーム演習は停止された。

　その後クライアントのセキュリティ運用と対策を分析し、「Amazon GuardDuty」（訳注：マネージド型脅威検出サービス）によってクライアントのSOC（セキュリティオペレーションセンター）で（模擬攻撃に起因する）不審なアクティビティーが判明した。Amazon GuardDutyは意図通りに機能していたが、クライアントのアカウントの中に正しく構成されていなかったものもあり、見つかったのは模擬攻撃のごく一部だけだった。

　警告を受けたSOCチームはレッドチームが侵害に使ったIAMキーを特定し、SOAR（Security Orchestration, Automation and Response）ツールを使ってそのキーを非アクティブにしてアクセスを遮断した。

セキュリティ計画

　Unit 42はクライアントに協力し、「シフトレフト」セキュリティ計画を実装した。この計画には、開発者によるDevOpsリポジトリの誤操作を防ぐ厳密なロールベースのアクセス制御、企業外のネットワークからのAPI要求を検出するルールの実装、IAMアカウントに向けられるAPI要求を検出するルールの実装などが盛り込まれた。

　「クライアントは成熟したセキュリティ体制と考えられるほぼ全てを維持していた。それでも、Unit 42はセキュリティスキャンによって21％の構成ミスと脆弱（ぜいじゃく）性を見つけている。これは業界平均の20％に相当する」とUnit 42はレポートに記している。

　セキュリティコミュニティーがシフトレフトについて議論しているにもかかわらずDevOpsのセキュリティがおろそかにされているのは、サプライチェーンの脅威への注意が不足している点にあるとUnit 42は考えている。

　開発サイクルの最後にコードをスキャンすれば十分だという考えがあまりにも多い。この誤った考えがなくならない限り、クラウド開発環境は攻撃者の標的になり続けるだろう。