GCPに見つかった“危険な正規API”悪用問題 Googleはどう動いた？：悪用されると危険な「Google Cloud Platform」のAPI【第4回】

「Google Cloud Platform」（GCP）の正規のAPIの中で、攻撃者に悪用される可能性があるものを、クラウドセキュリティベンダーのMitigaが発見した。同社の報告を受け、Googleはどのような対策を取ったのか。

[Arielle Waldman，TechTarget]

　クラウドセキュリティベンダーのMitiga Securityは、Googleのクラウドサービス群「Google Cloud Platform」（GCP）で、サイバー攻撃に利用される可能性のある2つのAPI（アプリケーションプログラムインタフェース）を発見した。同社の報告を受け、Googleはどのように動いたのか。

発見者いわく「Googleは提言の大部分を受け入れなかった」

併せて読みたいお薦め記事

連載：悪用されると危険な「Google Cloud Platform」のAPI

• 第1回：悪用されると危険なGCP「2つの正規API」とは？　VM乗っ取りの恐れも
• 第2回：GCPの設定ミスが原因？　正規APIを悪用してVMを乗っ取る“驚きの手口”
• 第3回：セキュリティ専門家が「GCP」の正規APIに示した“重大な懸念”とは？

　Mitigaは発見したAPI悪用の危険性をGoogleの脆弱（ぜいじゃく）性報告プログラム（VRP）に報告した。MitigaとGoogleの両社は、「この問題は脆弱性ではない」という見解で一致した。

　Googleに対して、Mitigaは今回問題を指摘したAPIの「getSerialPortOutput」（シリアルポートからの出力データを取得するAPI）に関する2つの仕様変更を提言した。「getSerialPortOutputの使用を、上位のロール（アクセス権限群）のみに制限すること」と「setMetadataが持つ、仮想マシン（VM）のメタデータを追加または変更する機能を、ユーザー自身で無効化できるようにすること」だ。

　Mitigaは、GCPのドキュメントの改訂も提言した。「ファイアウォールなどのアクセス制御技術が、VMへのアクセスを完全に制限するわけではないこと」「VMが存在するサブネットへのアクセス権限がなくても、適切なアクセス権限を持つGCP認証情報によって、システムに対するコマンド＆コントロール（攻撃指示・制御）が可能になること」を明確にすることが、その提言の内容だ。

　Googleは、提言の大部分を受け入れなかった。Mitigaのプリンシパルコンサルタントのアンドルー・ジョンストン氏は調査報告にこう記している。

長いやりとりを経て、Googleは最終的に、ドキュメントの一部をより明確にすることが可能であることを認め、「ファイアウォールの設定にかかわらず、コントロールプレーンがVMにアクセスできること」が分かるように、ドキュメントを変更することに同意しました。しかし他の提言は受け入れませんでした

　Mitigaの報告を受けてGoogleは、GCPの「VPC Service Controls」（VPC-SC）を使用することで、注意が必要なAPIへのアクセスを制限できることを説明した。VPC-SCは許可を受けていないネットワークや端末からの、GCPサービスへのアクセスを制限する機能だ。Mitigaは全ての顧客に対し、不正アクセスを防ぐために、可能な限りVPC-SCを有効にすることを推奨している。

　GoogleはVRPを通じて、Mitigaの発見結果の報告に対する報奨金として、ジョンストン氏に100ドルを支給した。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。