「Google Cloud Platform」(GCP)の正規のAPIの中で、攻撃者に悪用される可能性があるものを、クラウドセキュリティベンダーのMitigaが発見した。同社の報告を受け、Googleはどのような対策を取ったのか。
クラウドセキュリティベンダーのMitiga Securityは、Googleのクラウドサービス群「Google Cloud Platform」(GCP)で、サイバー攻撃に利用される可能性のある2つのAPI(アプリケーションプログラムインタフェース)を発見した。同社の報告を受け、Googleはどのように動いたのか。
Mitigaは発見したAPI悪用の危険性をGoogleの脆弱(ぜいじゃく)性報告プログラム(VRP)に報告した。MitigaとGoogleの両社は、「この問題は脆弱性ではない」という見解で一致した。
Googleに対して、Mitigaは今回問題を指摘したAPIの「getSerialPortOutput」(シリアルポートからの出力データを取得するAPI)に関する2つの仕様変更を提言した。「getSerialPortOutputの使用を、上位のロール(アクセス権限群)のみに制限すること」と「setMetadataが持つ、仮想マシン(VM)のメタデータを追加または変更する機能を、ユーザー自身で無効化できるようにすること」だ。
Mitigaは、GCPのドキュメントの改訂も提言した。「ファイアウォールなどのアクセス制御技術が、VMへのアクセスを完全に制限するわけではないこと」「VMが存在するサブネットへのアクセス権限がなくても、適切なアクセス権限を持つGCP認証情報によって、システムに対するコマンド&コントロール(攻撃指示・制御)が可能になること」を明確にすることが、その提言の内容だ。
Googleは、提言の大部分を受け入れなかった。Mitigaのプリンシパルコンサルタントのアンドルー・ジョンストン氏は調査報告にこう記している。
長いやりとりを経て、Googleは最終的に、ドキュメントの一部をより明確にすることが可能であることを認め、「ファイアウォールの設定にかかわらず、コントロールプレーンがVMにアクセスできること」が分かるように、ドキュメントを変更することに同意しました。しかし他の提言は受け入れませんでした
Mitigaの報告を受けてGoogleは、GCPの「VPC Service Controls」(VPC-SC)を使用することで、注意が必要なAPIへのアクセスを制限できることを説明した。VPC-SCは許可を受けていないネットワークや端末からの、GCPサービスへのアクセスを制限する機能だ。Mitigaは全ての顧客に対し、不正アクセスを防ぐために、可能な限りVPC-SCを有効にすることを推奨している。
GoogleはVRPを通じて、Mitigaの発見結果の報告に対する報奨金として、ジョンストン氏に100ドルを支給した。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
システムのパブリッククラウド移行が進む一方で、パブリッククラウドからオンプレミスに戻る「オンプレミス回帰」を選ぶ企業が相次いでいる。背景には何があるのか。パブリッククラウドとオンプレミスシステムの違いとは。
クラウドサービスのメリットをオンプレミスインフラでも得られるようにしたい――。こうした“理想”を実現する手段が「オンプレミスクラウド」だ。その実態と可能性を探る。
一度クラウドサービスに移したシステムをオンプレミスインフラに戻す「脱クラウド」は、なぜ起こるのか。実際にオンプレミス回帰に踏み切る際には、どのようなコストが発生するのか。専門家の声を基にまとめた。
クラウドサービスの「エグレス料金」は見積もりがしづらく、利用を断念せざるを得なくなるほど高額になる場合もある。どのように節約すればよいのか。
ロッテはシステムのAWS移行を進める中、DX推進の鍵は内製化比率の向上にあると考え、内製化の強化に踏み切った。本資料では、内製化の実現に向け、支援を受けながら、初めて取り組んだAWS開発と人材育成を成功させた事例を紹介する。
現場判断で膨らむクラウドコストをどう抑えるか 効率的な予算管理法とは? (2025/5/30)
クラウド活用で顕在化するコスト増大と活用スキル不足の課題、解決の決め手は? (2025/5/9)
KDDIの通信品質と事業成長を支える“共通インフラデータ基盤”構築の舞台裏 (2025/3/12)
高まるSaaSバックアップ需要で「ストック収益」を拡大するには (2025/1/22)
大和総研に聞く、基幹システムのモダナイズ推進を成功に導いた四つのポイント (2024/12/23)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...