「Microsoft Azure」の“古いURL”を悪用 トレンドマイクロが指摘する侵入口:Microsoftが8000件の消し忘れを見落とし
トレンドマイクロの調査では、「Microsoft Azure」内で放置された「古い名前の参照設定」が8000件以上見つかった。消し忘れが深刻なシステム乗っ取りに直結するのはなぜか。
企業のDX(デジタルトランスフォーメーション)が加速し、クラウドインフラが普及する中、ソフトウェアの開発や運用において外部の共有システムとの連携が前提となっている。一方で、外部システムとの連携における設定の死角を狙い、関連システムを踏み台にして標的企業を連鎖的に侵害する「サプライチェーン攻撃」の新たなリスクが浮上している。
トレンドマイクロは2024年1月から4月にかけて、Microsoftのクラウドサービス「Microsoft Azure」において、Microsoft自身が一般に公開・管理しているオープンソースの「GitHub」リポジトリ、コンテナイメージ、パッケージを横断的に分析した。
その結果、過去にシステム自体は削除されたにもかかわらず、DNS名の参照だけがソースコード内に未修正のまま残っている「ダングリング」(宙吊り)状態のMicrosoft Azureのコンピューティングリソースが、広範囲にわたる設定漏れとして放置されている実態が判明した。
この設定漏れは、一見すると単なるリンク切れのように思えるが、サイバー攻撃者にとって格好の侵入口になる。なぜ、単なる名前の消し忘れが深刻なサイバー侵害に直結してしまうのか。具体的な悪用の仕組みと、実験によって明らかになったリスクの実態に迫る。
“空き家”になったドメインの恐怖
クラウドサービスが発行する専用のURL(ドメイン名)は世界中で共有されるため、ユーザー企業がクラウドサービス内のコンピューティングリソースを削除すると、そのURLは誰でも再取得が可能な空き状態になる。もし、元のソースコードや設定ファイルの中に古いURLへの参照が残ったままになっていると、攻撃者が同じURLを新規に取得してシステムを立ち上げただけで、元のシステムからの通信をそのまま受け取ったり、正規のルートを装って不正なファイルを流し込んだりすることが可能になる。
これは、システムのメモリ領域における脆弱性の一種である「解放後利用」(Use-After-Free:割り当てが解除された領域を不正に利用する欠陥)のクラウドサービス版とも言える構造的な弱点であり、システム全体の信頼を根底から揺るがす。
トレンドマイクロの調査では、Microsoftの自社関連プロジェクト内だけでも、このようなダングリング状態にあるデータ保管庫や外部接続口などのコンピューティングリソースが8000件以上も確認された。ここにはデータを保管するストレージアカウント、「Azure App Service」、ユーザーにデータを迅速に配信するネットワークシステムであるCDN(コンテンツ配信ネットワーク)などが含まれている。
攻撃者は、システムに設定された「暗黙の信頼」を悪用し、主に以下の2つの手法によって、古い設定が残るプログラムや開発システムへの侵害を試みる。
手法1.廃止されたURLの再取得による偽装配布
1つ目は、ソフトウェアの導入用プログラム(インストーラー)などの配信経路を乗っ取る手法だ。
あるシステムにおいて、ファイルの配信元を特定のCDNから別の保管場所に移行した際、更新を自動化するbot間で情報の反映タイミングにずれが生じ、古いCDNへの参照URLが数週間にわたってプログラム内に取り残される事例が確認された。もし攻撃者がこの間を突き、“空き家”になった古いCDNの接続口をそのまま再作成していれば、システムが古いURLにアクセスした際に、正規のインストーラーに偽装した不正プログラムを標的に無差別に配布できる状態が作り出されていた。
AIモデルの開発現場で広く利用される「Python」パッケージ(特定の機能を追加する拡張プログラム)の配信経路でも同様の弱点が確認された。設定ファイルが参照している「Azure Blob」ストレージのURLが宙吊り状態になっており、攻撃者が同名のストレージアカウントを作成して不正な配布ファイルを配置することで、開発システムから遠隔で任意のプログラムを実行させるリスクが生じていた。
手法2.未修正のIPアドレスの占有による自動化プロセスの汚染
2つ目は、ソフトウェアの更新やテスト、配信プロセスを自動化する仕組みである「CI/CDパイプライン」の隙を突く手法だ。
プログラムの実行時に、外部の特定の場所から必要なファイルを自動でダウンロードする工程において、参照先として指定されていたIPアドレスがダングリング状態になっていた事例が存在した。
クラウドサービス内で一度解約されたIPアドレスは、再び別のユーザー企業に割り当てられる。攻撃者がこのアドレスを偶然、あるいは意図的に取得し、そこに悪意ある実行ファイルを配置しておくだけで、自動化された開発ラインそのものが侵害されてしまう。結果として、ユーザー企業が顧客向けに開発しているシステムやソフトウェア全体に、マルウェアが自動的に混入するという深刻な連鎖被害をもたらす。
実証データが示す脅威の現実度
このリスクがどれほど現実的なものであるかを検証するため、トレンドマイクロが実際に汎用(はんよう)的な名前を用いてダングリング状態のコンピューティングリソースを模擬的に作成したところ、わずか4週間の間に約5万4000件ものアクセス要求が確認された。これは、攻撃者が常にインターネット内をスキャンし、他人が消し忘れた「空きドメイン」や「空きIPアドレス」を探し回っている実態を裏付けている。
今回の報告を受けてMicrosoftは、対象となったドメインの再取得や脆弱な参照設定の削除、特定の名前でのシステム作成を禁止するなどの安全強化策を即座に実施し、不適切な設定の修正と安全な処理を実現した。
しかし、この問題は特定のベンダーだけに依存するものではない。クラウドサービスのシステム構成を安全に活用するためには、自社が保有する資産の管理だけでなく、外部のソースコードや自動化ラインに残された信頼経路を継続的に検証する仕組みが不可欠だ。
企業においては、社内のシステム開発部署やセキュリティ担当部署が連携し、クラウド設定の可視化ツールなどを積極的に導入する必要がある。人手をかけずに不要な古い参照設定を一元化し、徹底的に排除する体制を構築することが、サプライチェーン全体を保護するための確実な方法となる。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。