GCPの設定ミスが原因？　正規APIを悪用してVMを乗っ取る“驚きの手口”：悪用されると危険な「Google Cloud Platform」のAPI【第2回】

Googleの「GCP」には、「設定ミス」が原因で悪用されてしまう恐れのある2つのAPIがある。どのような手口なのか。なぜ攻撃が可能になるのか。

≫ 2022年06月07日 05時00分公開

[Arielle Waldman，TechTarget]

GCPの正規APIを悪用した攻撃の手口とは

併せて読みたいお薦め記事

連載：悪用されると危険な「Google Cloud Platform」のAPI

第1回：悪用されると危険なGCP「2つの正規API」とは？　VM乗っ取りの恐れも

クラウドインフラの情報漏えいはなぜ起こるのか

　MitigaはGCPの仮想マシンサービス「Compute Engine」を調査する過程で、まずシリアルポートからの出力データを取得するAPI「getSerialPortOutput」の危険性に注目した。当初同社はGCPのAPIの問題について、データが流出するリスクに限られると考えていたが、そうではなかったという。「APIはデータの流出経路の一つにすぎない」と、Mitigaのプリンシパルコンサルタント、アンドルー・ジョンストン氏は調査報告に記している。

　ジョンストン氏によると、getSerialPortOutputと、仮想マシン（VM）のメタデータを変更する役割を持つAPI「setMetadata」の両者を用いた攻撃を組み合わせることで、攻撃者はクラウドサービスの認証情報だけで、VMに対するコマンド＆コントロール（攻撃指示・制御）が可能になる。

　Mitigaは、getSerialPortOutputとsetMetadataを悪用する2つの攻撃シナリオを発見し、テストした。どちらのシナリオでも、まず攻撃者は、両APIへのアクセス権限を持つGCPの認証情報を不正利用し、1つまたは複数のVMを操作する。

　一方の攻撃シナリオでは、ネットワークのラテラルムーブメント（横方向移動）を通して、標的のシステムにマルウェアをインストールする。他方のシナリオでは、標的のシステムが起動する度に参照するユーザーデータに、APIを悪用するマルウェアを挿入する。

　その後攻撃者はsetMetadataを使い、VMのメタデータに悪意あるコマンドを挿入する。これによりgetSerialPortOutputを通して、GCPのVMと攻撃者のシステム間でコマンドが入出力できるようになる。強力なアクセス制御がなされていなければ、攻撃者はこれらの手法でVMを制御できる。

　これらの手法を適用するには、関連するアクセス権限を持つGCP認証情報が必要だ。特にsetMetadataは、「Admin」（管理者）のロール（アクセス権限群）でのみ公開されており、アクセスできるエンドユーザーは限定されている。ユーザー企業では、管理用のパスワードやユーザー名の共有や再利用が常態化している場合がある。このような場合、攻撃者は管理権限を盗みやすくなる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップクラウド