ITmedia NEWS > セキュリティ >
ニュース
» 2019年02月27日 10時15分 公開

「ベアメタルクラウド」の弱点、セキュリティ企業が指摘 情報盗まれる恐れも

セキュリティ企業の米Eclypsiumによると、クラウド各社が提供する「ベアメタルクラウド」の弱点と、以前から指摘されていたBMCファームウェアの脆弱性を組み合わせれば、DoS攻撃を仕掛けられたり、情報を盗まれたりする恐れがあるという。

[鈴木聖子,ITmedia]

 ITインフラをクラウドに移行させる企業が増える中で、セキュリティ企業の米Eclypsiumは2月26日、クラウド各社が提供する「ベアメタルクラウド」のオプションに関するセキュリティ問題を指摘した。以前から報告されていた脆弱性と、ベアメタルクラウドのプロセスに存在する弱点を組み合わせれば、サービス妨害(DoS)攻撃を仕掛けられたり、情報を盗まれたりする恐れがあるとしている。

 Eclypsiumによると、クラウドサービス事業者は、価値の高いアプリケーションを運用する顧客のために専用の物理サーバを割り当てる「ベアメタルクラウド」のオプションを提供している。

 だが、いずれ顧客がそのサーバを使わなくなれば、サービス事業者が再利用措置を行った上で、別の顧客に同じサーバを割り当てる。

 この再利用のプロセスに存在する弱点と、SupermicroなどのBaseboard Management Controller(BMC)ファームウェアに以前から指摘されていた脆弱性を組み合わせれば、不正なファームウェアやrootkitが顧客から顧客へと受け渡されて、重要なアプリケーションがダメージを受けたり、プライベートデータが盗まれたりする恐れもあるという。

 Eclypsiumでは、Supermicroのサーバを使っているIBM傘下のクラウドサービス「SoftLayer」のベアメタルインスタンスで、この問題を検証した。ただし、これは特定のサービス事業者に限った問題ではなく、ファームウェアの脆弱性は全てのサービス事業者に当てはまると解説している。

 IBMには2018年9月にこの問題を通知したといい、IBMは2019年2月25日のブログでBMCファームウェアの脆弱性を確認、対策を講じたことを明らかにした。

 ただ、IBMがこの脆弱性の危険度を「低(CVSS 3.0)」に分類したのに対し、Eclypsiumは「クリティカル(CVSS 9.3)」と位置付けている。

Copyright © ITmedia, Inc. All Rights Reserved.