クラウドセキュリティベンダーのMitiga Securityが、攻撃者に悪用される恐れのある「Google Cloud Platform」(GCP)のAPIを発見した。GCPに潜む危険を解説する。
Googleのクラウドサービス群「Google Cloud Platform」(GCP)には“潜在的に危険な”正規の要素があり、攻撃者がこれらを悪用して仮想マシン(VM)を乗っ取る恐れがある――。これはクラウドインシデント対応を手掛けるセキュリティベンダーMitiga Securityが、2022年5月初めに発表した調査報告で明らかにした事実だ。攻撃者がこうした要素を悪用すると、VMからデータを送受信したり、システムを完全に制御したりできる可能性がある。
攻撃者が攻撃手段や経路として悪用する可能性があるのは、Googleが公開するAPI(アプリケーションプログラムインタフェース)の「getSerialPortOutput」「setMetadata」だ。getSerialPortOutputは、シリアルポートからの出力データを取得する。setMetadataは、実行時にVMのメタデータを変更できる。
Mitigaは、ファイアウォールなどのアクセス制御が機能していても、これらのAPIを悪用することで、攻撃者がGCPのVMにアクセスできる可能性があることを明らかにした。同社のプリンシパルコンサルタント、アンドルー・ジョンストン氏は、同社公式ブログのエントリ(投稿)で次のように述べている。
Mitigaは、こうしたAPIには危険が隠れていると考えています。ユーザー企業のGCPインフラには、こうした悪用を可能にする設定ミスがあることが一般的なのではないかと懸念しています。ただしGCPインフラの適切なアクセス制御を実施すれば、悪用可能な機能は存在しなくなります
ジョンストン氏によると、GCPでシステムを運用している企業は、2つのAPIを悪用する攻撃者にデータを抜き取られたり、VMを完全に乗っ取られたりして、コマンド&コントロール(攻撃指示・制御)インフラとして使われてしまう危険がある。同氏は、この攻撃手法はGCPの脆弱(ぜいじゃく)性ではなく、あくまでも「システム内の正規の要素を悪用した手法だ」と強調する。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
ロッテはシステムのAWS移行を進める中、DX推進の鍵は内製化比率の向上にあると考え、内製化の強化に踏み切った。本資料では、内製化の実現に向け、支援を受けながら、初めて取り組んだAWS開発と人材育成を成功させた事例を紹介する。
B2B取引の決済手段として多くの企業が採用している請求書払い(後払い)だが、入金遅延や未払いが発生するリスクもある。そこで、これらのリスクと業務負担を解消する決済代行サービスが登場した。本資料で詳しく紹介する。
SaaSの決済手段ではクレジットカード払いを設定するのが一般的だが、B2B取引においてはそれだけだと新規顧客を取りこぼすこともある。Chatworkやココナラなどの事例を交え、決済手段を多様化する重要性と、その実践方法を解説する。
ハイブリッドクラウドやエッジコンピューティングの普及に伴い、企業が管理すべきIT資源が急増している。こうした中で注目を集めるのが、あるクラウドサービスだ。分散環境における課題とその解決策について、導入事例とともに解説する。
AI活用やデータドリブン経営が加速する一方で、レガシーインフラが問題になるケースが増えている。特に複数の世代にわたってIT資産が混在しているインフラ環境では、運用負荷やコストが増大してしまう。この問題をどう解消すればよいのか。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
