これから本格化? アクセスキー不正使用でのランサム事案がついに国内でも発生

0

2025年06月03日 07:20  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

ランサムウェア被害に関する報告と対応措置について(出典:エネクラウドのWebサイト)

 以前、「Amazon S3」の標準機能だけを使ったマルウェアが確認されたというお話を取り上げましたが、トレンドマイクロからとうとうこの手口が日本でも登場したと教えてもらいました。


【画像】アクセスキー不正使用でのランサム事案がついに国内でも発生【全1枚】


 エネクラウドの報告によると、2025年4月にAmazon S3のクラウドストレージが不正に操作され、S3バケットが削除されたとされています。


 直接の原因はクラウドサービスに対するアクセスキーが何らかの形で不正使用されたことです。ただし、どのような方法でアクセスキーが漏えいしたのかまでは分かっていません。ランサムウェアの侵入手口は電子メールやVPNからクラウドサービスそのものにまで拡大しています。これを踏まえると、マルウェアやパッチ適用、設定見直しだけでなく、クラウドサービスの基本的な運用も、大きな意味での「ランサムウェア対策」に含めなければならないでしょう。


●ランサムウェアはクラウドからも? アクセスキーを巡る運用を再考せよ


 クラウドにおけるアクセスキーの取り扱いは、これまで以上に重要になっています。過去にもトヨタモビリティサービスなどがアクセスキー漏えいに起因するインシデントを起こしています。


 アクセスキーはクラウドサービスにアクセスするための認証情報であり、これを使う上では必ず生成し、利用するものです。当然、管理については慎重になるべきですが、テスト環境のために作成したアクセスキーがソースコードの中に直接書かれていたり、そのソースコードを公開してしまったりという事例は多く、それがきっかけで情報漏えいやサイバー攻撃につながることもあります。


 筆者も初めてクラウドサービスをお試しで利用するとき、よく分からないまま操作をした結果、非常に強力な権限のアカウントを作ってしまった経験があります。一度作ってテストを進めてしまうとなかなかその設定を変更することがないので、恐らくこういうところからインシデントが発生するのだろうとは感じていました(その後もちろん環境ごとしっかりと削除しました)。


 今回のように、設定不備などでアクセスキーが漏えいしてしまうことを想定すると、クラウドサービスに関する運用ポリシーを作り、常に学習することが必要だと思うとともに、やはりセキュリティの基本から、もう一度考えるのが大事だと感じます。


●もう一度基本に立ち返ろう 「最小特権の原則」を守る


 その基本とは、「最小特権の原則」です。これはクラウドサービスのアクセスキーもそうですが、全てのアカウントにおいて、もう一度しっかりと考えなくてはならない、ごく基本的な要素だと思っています。


 最小特権の原則は読んで字の通り、利用者が必要な権限だけを与え、不要な権限を与えないという単純な話なのですが、「言うは易し行うは難し」セキュリティの代表例かもしれません。この原則を知っていて、大事だと思っていたとしても、PCで管理者権限が付与されたアカウントを使っている方もいるでしょう。かくいう筆者もきちんと守れていない部分も多いのですが、「ClickFix」のような、マルウェアを利用者に実行させる仕組みの攻撃も、管理者権限が与えられていないアカウントであれば影響も限定的になるはずです。


 クラウドサービスでも同様で、最小特権の原則に照らしながら権限を設定するのが基本です。これに加えて、不要になったアカウントの棚卸しや、ソースコードを公開、保存する際に、アクセスキーに相当するものが含まれないかどうかを確認するプロセスも必要になるでしょう。いわゆる「特権管理」に特化したソリューションもあるので、エンジニアたちのモラルだけに頼らず、ソリューションで対応するという方法も検討する必要があるかもしれません。


 恐らくですが、この最小特権の原則を理解し、これを重視した運用を突き詰めていくと、アクセス制御が細やかになり、利用者に余計な権限が与えられていないことが担保されるように、都度権限をチェックする仕組みが作られるはずです。そのとき、ネットワークの姿は大きく変化し、内側も外側も関係なく、権限をしっかりと確認しつつ運用する形になるはずです。


●懸念は「AI」?


 話をアクセスキーに戻すと、最近ではAIを活用したコーディング用のエディタが非常に注目を集めています。これまで蓄積したコードベースを基に、書くべきコードを提案してくれるためコーディングの省力化に大きく貢献してくれます。


 しかし、そうなると懸念が一つ生まれます。もしそういったAIモデル構築のために、公開されている、あるいは公開していないはずの「アクセスキーを含んだ」コードが学習されてしまうと、大変大きな問題になるはずです。AIをコーディングに活用しようとしている組織は、情報を守る手段が用意されているかどうかもしっかり確認する必要がありそうです。少し調べてみたところ、AIエディタの「Cursor」でもそういった懸念が話題になっており、実装が進められているようです。今後もこういった動きに注目ですね。


筆者紹介:宮田健(フリーライター)


@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。

    Copyright(C) 2025 ITmedia Inc. All rights reserved. 記事・写真の無断転載を禁じます。
    掲載情報の著作権は提供元企業に帰属します。

    ランキングIT・インターネット

    アクセス数ランキング

    一覧へ

    話題数ランキング

    一覧へ

    前日のランキングへ

    ニュース設定

    このページの上部へ