ある大手SaaSプロバイダーがPalo Alto NetworksのUnit 42にレッドチーム演習を依頼した。このレッドチーム演習の全過程を紹介する。Unit 42の模擬攻撃は成功したのか?
Palo Alto Networksは、Unit 42(同社の脅威インテリジェンスチーム)がある大手SaaSプロバイダー(社名非公開)に侵入し、サプライチェーンに攻撃を「仕掛けた」ストーリーを公開した。
このSaaSプロバイダー(以下、クライアント)はSolarWindsのインシデントに危惧を抱き、自社のソフトウェア開発環境へのレッドチーム演習をUnit 42に依頼した。
Unit 42のレッドチームは、クライアントのソフトウェア開発環境の構成ミスを利用して制御権を手に入れた。この際、ロシアに関係するAPT(持続的標的型脅威)グループがSolarWindsのプラットフォームに侵入して悪意のあるコードを仕込んだ手口を利用した。
レッドチームはクライアントのCI(継続的インテグレーション)環境への制限付きアクセス権を有する開発者を装い、そこからより広範な管理者権限の取得を試みた。これはSolarWindsでの手口とは多少異なる。
レッドチームには、クライアントの全開発者に割り当てられるDevOpsのロールが同じく割り当てられた。このロールには社内GitLabリポジトリへのアクセス権も含まれる。これがこのクライアントの最初の失敗だ。開発者ごとに職務を分離するというベストプラクティスに従っていれば、レッドチームによる模擬攻撃は失敗した可能性がある。
レッドチームは、これを足場にしてクライアントのクラウドストレージから全GitLabリポジトリをダウンロードした。この時点で154個のリポジトリから仮想マシン、データベース、ストレージインスタンス、ネットワークインフラ、ネットワークゲートウェイなど、約8万件のクラウドリソースを見つけた。問題は、IAM(IDとアクセス管理)のキーペアを26個発見したことだ。
レッドチームは盗み出したIAMキーを使って特権に昇格し、「Amazon Web Services」(AWS)の「iam:PassRole」(訳注:AWSのサービスにIAMロールを渡す定義)の構成ミスを悪用した。
アクセス権を取得したレッドチームは、クライアントのクラウドで任意のアクションを実行する完全な能力を得たことになる。クライアントのソフトウェア開発パイプラインに悪意のあるコードを挿入してCI運用に危害を加えることもできたが、これは契約対象外なのでこの時点でレッドチーム演習は停止された。
その後クライアントのセキュリティ運用と対策を分析し、「Amazon GuardDuty」(訳注:マネージド型脅威検出サービス)によってクライアントのSOC(セキュリティオペレーションセンター)で(模擬攻撃に起因する)不審なアクティビティーが判明した。Amazon GuardDutyは意図通りに機能していたが、クライアントのアカウントの中に正しく構成されていなかったものもあり、見つかったのは模擬攻撃のごく一部だけだった。
警告を受けたSOCチームはレッドチームが侵害に使ったIAMキーを特定し、SOAR(Security Orchestration, Automation and Response)ツールを使ってそのキーを非アクティブにしてアクセスを遮断した。
Unit 42はクライアントに協力し、「シフトレフト」セキュリティ計画を実装した。この計画には、開発者によるDevOpsリポジトリの誤操作を防ぐ厳密なロールベースのアクセス制御、企業外のネットワークからのAPI要求を検出するルールの実装、IAMアカウントに向けられるAPI要求を検出するルールの実装などが盛り込まれた。
「クライアントは成熟したセキュリティ体制と考えられるほぼ全てを維持していた。それでも、Unit 42はセキュリティスキャンによって21%の構成ミスと脆弱(ぜいじゃく)性を見つけている。これは業界平均の20%に相当する」とUnit 42はレポートに記している。
セキュリティコミュニティーがシフトレフトについて議論しているにもかかわらずDevOpsのセキュリティがおろそかにされているのは、サプライチェーンの脅威への注意が不足している点にあるとUnit 42は考えている。
開発サイクルの最後にコードをスキャンすれば十分だという考えがあまりにも多い。この誤った考えがなくならない限り、クラウド開発環境は攻撃者の標的になり続けるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
中国政府がTikTok売却先としてイーロン・マスク氏に白羽の矢? うわさの真相は……
米国で禁止か売却か――。判断が迫られるTikTokに驚きの選択肢が浮上した。売却先の一つ...
集客装置としての「イカゲーム」(無料eBook)
残酷なシーンが多いことで知られる作品なのに世界のブランドはなぜタイアップしたがるの...
2025年の広告・マーケティング予算、「増加」企業の割合は?
コムエクスポジアム・ジャパンが企業のマーケティング活動における予算や主要な関心事を...