GCPに見つかった“危険な正規API”悪用問題 Googleはどう動いた?悪用されると危険な「Google Cloud Platform」のAPI【第4回】

「Google Cloud Platform」(GCP)の正規のAPIの中で、攻撃者に悪用される可能性があるものを、クラウドセキュリティベンダーのMitigaが発見した。同社の報告を受け、Googleはどのような対策を取ったのか。

2022年06月21日 05時00分 公開
[Arielle WaldmanTechTarget]

 クラウドセキュリティベンダーのMitiga Securityは、Googleのクラウドサービス群「Google Cloud Platform」(GCP)で、サイバー攻撃に利用される可能性のある2つのAPI(アプリケーションプログラムインタフェース)を発見した。同社の報告を受け、Googleはどのように動いたのか。

発見者いわく「Googleは提言の大部分を受け入れなかった」

 Mitigaは発見したAPI悪用の危険性をGoogleの脆弱(ぜいじゃく)性報告プログラム(VRP)に報告した。MitigaとGoogleの両社は、「この問題は脆弱性ではない」という見解で一致した。

 Googleに対して、Mitigaは今回問題を指摘したAPIの「getSerialPortOutput」(シリアルポートからの出力データを取得するAPI)に関する2つの仕様変更を提言した。「getSerialPortOutputの使用を、上位のロール(アクセス権限群)のみに制限すること」と「setMetadataが持つ、仮想マシン(VM)のメタデータを追加または変更する機能を、ユーザー自身で無効化できるようにすること」だ。

 Mitigaは、GCPのドキュメントの改訂も提言した。「ファイアウォールなどのアクセス制御技術が、VMへのアクセスを完全に制限するわけではないこと」「VMが存在するサブネットへのアクセス権限がなくても、適切なアクセス権限を持つGCP認証情報によって、システムに対するコマンド&コントロール(攻撃指示・制御)が可能になること」を明確にすることが、その提言の内容だ。

 Googleは、提言の大部分を受け入れなかった。Mitigaのプリンシパルコンサルタントのアンドルー・ジョンストン氏は調査報告にこう記している。

長いやりとりを経て、Googleは最終的に、ドキュメントの一部をより明確にすることが可能であることを認め、「ファイアウォールの設定にかかわらず、コントロールプレーンがVMにアクセスできること」が分かるように、ドキュメントを変更することに同意しました。しかし他の提言は受け入れませんでした

 Mitigaの報告を受けてGoogleは、GCPの「VPC Service Controls」(VPC-SC)を使用することで、注意が必要なAPIへのアクセスを制限できることを説明した。VPC-SCは許可を受けていないネットワークや端末からの、GCPサービスへのアクセスを制限する機能だ。Mitigaは全ての顧客に対し、不正アクセスを防ぐために、可能な限りVPC-SCを有効にすることを推奨している。

 GoogleはVRPを通じて、Mitigaの発見結果の報告に対する報奨金として、ジョンストン氏に100ドルを支給した。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

製品資料 株式会社AIT

メディア業界必見:大容量データを安全・超高速転送、スモールスタートも容易に

大容量データの送受信には、通信遅延や帯域制限の課題がある。本資料では、高速で安全なデータ送信を実現できるファイル転送プラットフォームを紹介する。導入時に気になるポイントとともに、料金プランも分かりやすく解説している。

事例 ファインディ株式会社

アジャイル開発成功事例集:セゾンテクノロジー/ダイキン工業/朝日新聞

アジャイル開発を推進する上で欠かせないのが、開発プロセスやレビュープロセス、パフォーマンスなどを可視化することだ。セゾンテクノロジーやダイキン工業、朝日新聞といった3社の事例を基に、それらを実現する方法を探る。

市場調査・トレンド フリー株式会社

「情シスのSaaS利用実態」調査レポート

SaaSを導入する企業が急速に増えている。経営者と情報システム担当者1019人を対象にした調査によると、約9割の企業が2年前よりもSaaSの利用を増やしたという。このような中で、新たな課題も顕在化している。その内容を見ていこう。

製品資料 Notion Labs Japan合同会社

情報の安全な活用と共有に、AI+統合ワークスペースが果たす役割とは

「ビジネス+学び」をテーマにした映像コンテンツ制作、配信を事業の中核とするPIVOT。同社では情報基盤として活用してきたツールのセキュリティ強化とともに、AI機能の導入によって、業務の質と速度の向上を実現した。

製品資料 発注ナビ株式会社

SaaS導入の失敗を回避、適切な選定を支援するマッチングサービスとは?

ある調査によると、67.4%の企業が「SaaS製品の導入に失敗した経験がある」と回答しているという。そんな中、適切な選定・導入を支援するマッチングサービスが注目を集めている。本資料では、サービスの特徴や運用の流れを紹介する。

アイティメディアからのお知らせ

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...