複数のAzureサービスに深刻な脆弱性が見つかる 推奨される対策は?:セキュリティニュースアラート
Tenableが複数のAzureサービスに深刻な脆弱性があると報告した。これによって、攻撃者はサービスタグを利用してファイアウォールルールを回避できる可能性がある。
Tenableは2024年6月3日(現地時間)、「Microsoft Azure」(以下、Azure)に深刻な脆弱(ぜいじゃく)性が存在すると伝えた。この脆弱性を悪用することで、信頼できるサービスからのリクエストを偽造し、攻撃者がAzureサービスタグに基づくファイアウォールルールを回避できるとされている。
複数のAzureサービスに見つかった脆弱性 Tenableが警告
Azureサービスタグは、特定のAzureサービスのIP範囲をグループ化することでAzure内のネットワーク分離を簡素化する。ネットワークセキュリティルールを定義して複数のAzureリソースに一貫して適用することが可能とされ、ファイアウォールルールやネットワークセキュリティグループ(NSG)の構成などのアクセス制御を管理するのに便利な機能とされている。
発見された脆弱性は当初、監視ソリューション「Azure Monitor」の拡張機能「Azure Application Insights」で発見されたが、最終的に10以上の他のAzureサービスにも影響を及ぼしていたことが判明した。いずれの場合も攻撃者は他の内部および非公開のAzureサービスにアクセスできる可能性がある。
影響を受けるAzureサービスは以下の通りだ。
- Azure Application Insights
- Azure DevOps
- Azure Machine Learning
- Azure Logic Apps
- Azure Container Registry
- Azure Load Testing
- Azure API Management
- Azure Data Factory
- Azure Action Group
- Azure AI Video Indexer
- Azure Chaos Studio
この脆弱性を悪用したサイバー攻撃から身を守るために、まずAzure環境内の各関連サービスにおけるネットワークルールを分析し、サービスタグの使用を検索して影響を受けるサービスがないかどうかを調査することが推奨されている。
影響を受けるサービスが見つかった場合、それらに認証および承認レイヤーを追加することが求められる。サービスタグはプライベートサービスへのトラフィックを完全に保護しないため、強力なネットワーク認証を維持することで攻撃者が脆弱性を利用してターゲットエンドポイントに到達した場合でも、アクセスの悪用が非常に困難になる。
脆弱性が確認されているサービスだけでなく、他のサービスについても継続的に監視と対策を実施することが推奨されている。常に最新のセキュリティ情報をチェックし、適切な防御策を講じることでAzure環境をより安全に保つことが可能だ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
WAFの限界はどこにある? Assetnoteが「WAF回避」による攻撃テクニックを紹介
AssetnoteはWebアプリケーションファイアウォール(WAF)を回避するためのシンプルなテクニックを発表した。
日清食品グループの“やりすぎ”なぐらいのセキュリティ対策――キーパーソンが語る10年の歩み
セキュリティ対策を前に進めるには先進企業の事例から学ぶのが近道だ。日清食品グループのセキュリティを統括するキーパーソンに、10年間にわたるITやセキュリティ対策の歩みを聞いた。
ランサムウェアに起きた“破壊的イノベーション”とは? 進化の歴史をひもとく
ランサムウェアは一体どのように衰退と進化を繰り返してきたのか。また、その最中に起きた“破壊的イノベーション”とは何か。40年間セキュリティリサーチャーとして活動してきたハッカーがその歴史をひもとく。
リソースが足りない企業がやるべき、“最低限で効果的なセキュリティ対策”を考えよう
予算やリソースが限られた中堅・中小企業が取るべき“最低限の効果的なセキュリティ対策”とは何か。WithSecureのCISOやユーザー企業のセキュリティ担当者が語った。