ホーム > mixiニュース > IT・インターネット > IT総合 > 「ベアメタルクラウド」の弱点、セキュリティ企業が指摘 情報盗まれる恐れも

「ベアメタルクラウド」の弱点、セキュリティ企業が指摘 情報盗まれる恐れも

0

2019年02月27日 10:42  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

 ITインフラをクラウドに移行させる企業が増える中で、セキュリティ企業の米Eclypsiumは2月26日、クラウド各社が提供する「ベアメタルクラウド」のオプションに関するセキュリティ問題を指摘した。以前から報告されていた脆弱性と、ベアメタルクラウドのプロセスに存在する弱点を組み合わせれば、サービス妨害(DoS)攻撃を仕掛けられたり、情報を盗まれたりする恐れがあるとしている。



【その他の画像】



 Eclypsiumによると、クラウドサービス事業者は、価値の高いアプリケーションを運用する顧客のために専用の物理サーバを割り当てる「ベアメタルクラウド」のオプションを提供している。



 だが、いずれ顧客がそのサーバを使わなくなれば、サービス事業者が再利用措置を行った上で、別の顧客に同じサーバを割り当てる。



 この再利用のプロセスに存在する弱点と、SupermicroなどのBaseboard Management Controller(BMC)ファームウェアに以前から指摘されていた脆弱性を組み合わせれば、不正なファームウェアやrootkitが顧客から顧客へと受け渡されて、重要なアプリケーションがダメージを受けたり、プライベートデータが盗まれたりする恐れもあるという。



 Eclypsiumでは、Supermicroのサーバを使っているIBM傘下のクラウドサービス「SoftLayer」のベアメタルインスタンスで、この問題を検証した。ただし、これは特定のサービス事業者に限った問題ではなく、ファームウェアの脆弱性は全てのサービス事業者に当てはまると解説している。



 IBMには2018年9月にこの問題を通知したといい、IBMは2019年2月25日のブログでBMCファームウェアの脆弱性を確認、対策を講じたことを明らかにした。



 ただ、IBMがこの脆弱性の危険度を「低(CVSS 3.0)」に分類したのに対し、Eclypsiumは「クリティカル(CVSS 9.3)」と位置付けている。


    あなたにおすすめ

    ニュース設定