GCPのアクセスログ機能に重大な欠陥 セキュリティベンダーが指摘

MitigaはGCPに重大なフォレンジックセキュリティ上の欠陥があると説明した。この欠陥によって、サイバー攻撃者がデータを窃取していてもそれを検出できないと指摘している。

[後藤大地，有限会社オングス]

　セキュリティ企業のMitigaは2023年3月1日（現地時間）、クラウド攻撃とフォレンジックに関する継続的な研究の一環として「Google Cloud Platform」（GCP）を調査した結果、重大なフォレンジックセキュリティ上の欠陥があると指摘した。

　Mitigaはこの欠陥のため、サイバー攻撃者が秘密裏にデータを窃取した場合、これを検出することも、後からどのような行為が実行されたのかを分析することも難しいと説明している。

MitigaはGCPに関するフォレンジックセキュリティ上の欠陥を指摘した（出典：MitigaのWebサイト）

GCPのストレージ、フォレンジック分析に利用できないと指摘

　Mitigaは、GCPで提供されているアクセスログ機能はフォレンジック分析において不十分なものであり、サイバー攻撃者によってデータ窃取がされていることを検出できず、どのような悪意ある行為が実行されたのかも分析できないと指摘した。

　サイバー攻撃者が対象システムに侵入した直後に実行する最も一般的な攻撃ベクトルはデータの窃取だといわれている。フォレンジック調査員はベンダーから提供されるログに基づき、サイバー攻撃を特定し、攻撃者が何を実行したのかを分析する。

　GoogleはGCPにおいて、データへのアクセスやデータ窃取などの可能性を監視する目的でストレージにおけるアクセスログ機能を提供している。この機能はコスト上の理由でデフォルトでは無効化されているが、有効にすることで企業はストレージデータに関するさまざまなサイバー攻撃の検出および対応などが容易になるとされている。

　しかしMitigaは、GCPの同機能はフォレンジック調査を実施するには不十分であり、フォレンジック分析に使用することはほぼ不可能だと説明している。これは幅広いアクティビティーを「Object Get」という単一タイプのイベントでグループ化することを選択した実装上の仕組みに起因した問題だと指摘している。

　Mitigaはこうしたセキュリティ脅威に対する緩和策として以下の方法を提案している。

• GCPのセキュリティ機能「VPC Service Controls」を使ってサービス境界を定義し、これらサービスとの間の通信を制御する
• 組織制御ヘッダを使って自身の環境内から実行したクラウドリソースリクエストを特定の組織が所有するリソースのみを操作するように制限する
• VPC Service Controlsも組織制御ヘッダも使っていない場合、「Get」イベントや「List」イベントに異常がないかどうか確認するようにする
• ストレージリソースへのアクセスを制限し、読み込みや転送権限を削除することを検討する

　MitigaはすでにGoogleに対して本件を報告済みとしている。