GCPのアクセスログ機能に重大な欠陥 セキュリティベンダーが指摘
MitigaはGCPに重大なフォレンジックセキュリティ上の欠陥があると説明した。この欠陥によって、サイバー攻撃者がデータを窃取していてもそれを検出できないと指摘している。
セキュリティ企業のMitigaは2023年3月1日(現地時間)、クラウド攻撃とフォレンジックに関する継続的な研究の一環として「Google Cloud Platform」(GCP)を調査した結果、重大なフォレンジックセキュリティ上の欠陥があると指摘した。
Mitigaはこの欠陥のため、サイバー攻撃者が秘密裏にデータを窃取した場合、これを検出することも、後からどのような行為が実行されたのかを分析することも難しいと説明している。
GCPのストレージ、フォレンジック分析に利用できないと指摘
Mitigaは、GCPで提供されているアクセスログ機能はフォレンジック分析において不十分なものであり、サイバー攻撃者によってデータ窃取がされていることを検出できず、どのような悪意ある行為が実行されたのかも分析できないと指摘した。
サイバー攻撃者が対象システムに侵入した直後に実行する最も一般的な攻撃ベクトルはデータの窃取だといわれている。フォレンジック調査員はベンダーから提供されるログに基づき、サイバー攻撃を特定し、攻撃者が何を実行したのかを分析する。
GoogleはGCPにおいて、データへのアクセスやデータ窃取などの可能性を監視する目的でストレージにおけるアクセスログ機能を提供している。この機能はコスト上の理由でデフォルトでは無効化されているが、有効にすることで企業はストレージデータに関するさまざまなサイバー攻撃の検出および対応などが容易になるとされている。
しかしMitigaは、GCPの同機能はフォレンジック調査を実施するには不十分であり、フォレンジック分析に使用することはほぼ不可能だと説明している。これは幅広いアクティビティーを「Object Get」という単一タイプのイベントでグループ化することを選択した実装上の仕組みに起因した問題だと指摘している。
Mitigaはこうしたセキュリティ脅威に対する緩和策として以下の方法を提案している。
- GCPのセキュリティ機能「VPC Service Controls」を使ってサービス境界を定義し、これらサービスとの間の通信を制御する
- 組織制御ヘッダを使って自身の環境内から実行したクラウドリソースリクエストを特定の組織が所有するリソースのみを操作するように制限する
- VPC Service Controlsも組織制御ヘッダも使っていない場合、「Get」イベントや「List」イベントに異常がないかどうか確認するようにする
- ストレージリソースへのアクセスを制限し、読み込みや転送権限を削除することを検討する
MitigaはすでにGoogleに対して本件を報告済みとしている。
関連記事
- AIやMLモデルのセキュリティツール「Arsenal」登場 MicrosoftおよびMitreが公開
MicrosoftおよびMitreから「Arsenal」と呼ばれる新たなセキュリティツールが公開された。このツールはAIやMLモデルに対するセキュリティツールで、AIに注目が集まる昨今はこうしたセキュリティ技術に注目が集まる。 - CVSSスコア9.8のMicrosoft Wordの脆弱性 PoCが公開される
Bleeping ComputerがMicrosoft Wordにおける脆弱性のPoC公開について警戒を呼びかけた。これが悪用された場合は影響が広範囲に広がる可能性がある。 - Windows 11のシステム要件「TPM 2.0」に脆弱性 ベンダー対処に遅れ目立つ
Bleeping ComputerはWindows 11のシステム要件の一部であるTPM 2.0の脆弱性に関する懸念を指摘した。広範囲に影響する脆弱性であるにもかかわらず、ベンダーの対応が遅い点を危惧している。 - OneNoteが新たなマルウェア感染経路に 具体的な手口と対処法
Microsoft OneNoteを悪用したサイバー攻撃が発見された。VBAマクロに変わる新たなマルウェア感染の侵入経路としてサイバー攻撃者の間で悪用が進んでいるものとみられる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.