Google Cloudにリモートコード実行の脆弱性 数百万以上のサーバに影響か：セキュリティニュースアラート

TenableはGoogle Cloudに重大な脆弱性「クラウドインポーザー」を発見した。悪用された場合、数百万以上のGoogle Cloudのサーバや利用顧客のシステムでRCEが実行される可能性がある。

[後藤大地，有限会社オングス]

　Tenable Network Security Japanは2024年10月1日、「Google Cloud」にリモートコード実行（RCE）の重大な脆弱（ぜいじゃく）性「クラウドインポーザー」が存在すると発表した。

　クラウドインポーザーが悪用された場合、数百万以上のGoogle Cloudのサーバや利用顧客のシステムでRCEが実行される可能性がある。

Google Cloudに重大な脆弱性　数百万以上のサーバに影響

　クラウドインポーザーは、Google Cloudのサービスが「依存関係かく乱」と呼ばれるサプライチェーン攻撃に対して脆弱であることが原因とされている。この攻撃手法は数年前から知られているが、Tenableの調査によると、Googleのような大手テクノロジープロバイダーでも対応が十分ではなかったという。

　クラウド環境におけるサプライチェーン攻撃は、従来のオンプレミスと比較して被害が広がりやすい特徴がある。悪意のあるパッケージが一つでもクラウドサービス内に入り込むと大規模なネットワークに拡散され、数百万のユーザーに影響を与える可能性がある。

　Tenableのシニアリサーチエンジニアのリブ・マタン氏は「クラウドインポーザーを悪用した攻撃の影響範囲は計り知れないほど大きい。当社はこの脆弱性を検出して公開できたので、巨大なスケールで攻撃に悪用できる手段を取り去れた。この調査内容を共有すれば、このような種類の脆弱性の認知度を高めて理解を深め、より早くパッチが適用されたり検出されたりする可能性が高くなるだろう」と述べた。

　Tenableはクラウド利用者に対して自社の環境を分析してパッケージのインストール手順、特にPythonの「--extra-index-url」引数を確認することを推奨しており、この確認によって「依存関係かく乱」のリスクを軽減できるとしている。

　なお、Tenableからクラウドインポーザーが存在すると報告を受けたGoogleは問題を解決したと報告している。