ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

クラウドサービスがはらむセキュリティ問題、Amazonに対する攻撃で実証

» 2011年10月27日 07時14分 公開
[鈴木聖子,ITmedia]

 ドイツの研究者がAmazonのクラウドサービス「Amazon Web Services」(AWS)の深刻なセキュリティ問題を発見し、米シカゴで開かれたクラウドコンピューティングのセキュリティカンファレンスで発表した。急速に普及しているクラウドコンピューティングは、うたい文句とは裏腹に、必ずしもセキュアとはいえないことが実証されたとしている。

 ドイツのルール大学ボーフム校の発表によると、同大学の研究チームはAmazonのクラウドサービスに対してさまざまな種類のXMLシグネチャラッピング攻撃を仕掛け、クラウド顧客の管理者権限を乗っ取ることに成功。被害者のクラウドに新しいインスタンスを作成したり、画像を追加/削除したりできることを実証したという。

 このシグネチャラッピング攻撃は、Amazonにとどまらず多くのクラウドサービスに影響を及ぼす恐れがあると研究チームは指摘する。

 さらに、AWSのインタフェースとAmazonストアにクロスサイトスクリプティング(XSS)の脆弱性があることも突き止めた。この脆弱性を利用して、認証情報やトークン、プレーンテキストのパスワードなどを含む全顧客情報に自由にアクセスすることができたとしている。

 また、プライベートクラウドについても調べた結果、プライベートクラウドの実装に広く使われているオープンソースプロジェクトの「Eucalyptus」に、AWSと同じ脆弱性があることを確認した。Amazon、Eucalyptusとも今回の指摘を受けてセキュリティ問題の存在を認め、直ちに対処したという。

 今後もクラウドサービスの加速度的な普及が予想される中、研究チームでは「クラウドコンピューティングにおけるセキュリティギャップを認識し、恒久的な対策を取ることが不可欠だ」と呼び掛けている。

Copyright © ITmedia, Inc. All Rights Reserved.