攻撃を招くクラウド環境の設定ミス、わずか数分で悪用も 米セキュリティ企業がおとり調査

0

2021年11月30日 08:11  ITmedia NEWS

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia NEWS

写真Palo Alto NetworkのUnit 42の記事
Palo Alto NetworkのUnit 42の記事

 クラウド環境の設定ミスやセキュリティ対策の甘さを突いて攻撃を仕掛けられ、情報流出などの被害が発生する事件が後を絶たない。攻撃側は常にネットワークスキャンなどの偵察活動をして、弱点のあるサービスを探し出す。セキュリティ企業の実験で、そうした弱点が瞬く間に見つけられ、悪用される実態が浮き彫りになった。



【その他の画像】



 「設定ミスや脆弱性のあるサービスがインターネットにさらされれば、機会をうかがう攻撃者がそのサービスを発見して侵害するまで、わずか数分しかかからない」。米セキュリティ企業Palo Alto NetworkのUnit 42はそう指摘する。同社はパブリッククラウドに対する攻撃の実態を調べるため、意図的に設定を甘くしたおとり用のハニーポットインフラを、世界各地に配置した。



 研究チームは2021年7月から1カ月、320ノードのハニーポットインフラを北米とアジア太平洋、欧州に配置。クラウド環境で使うSSH(Secure Shell)やRDP(リモートデスクトップ)、SMB(Samba)、Postgresデータベースの4アプリケーションを320のハニーポットに均等に実装し、少数のアカウントで意図的に「admin:admin」「guest:guest」「administrator:password」などの弱いパスワードを設定した。



 この状態で攻撃を受ける時間や頻度、発生源を観察した結果、320のハニーポットのうち80%が24時間以内に、1週間以内には全てが侵害された。各ハニーポットは、攻撃者が認証を突破してアプリケーションにアクセスするなどの侵害を検知すると、リセットして配備し直した。



 最も多く攻撃されていたのはSSHハニーポットで、最大で1日に169回も侵害されたものもあった。個々のSSHハニーポットが侵害された回数は、平均で1日当たり26回に上った。Postgresについては、80のハニーポットのうち96%をわずか30秒で侵害した攻撃者もいた。最初に侵害されるまでの平均時間もSSHが最も短く184分、次いでPostgresが511分、RDPが667分、Sambaが2485分の順だった。



 「攻撃者が我々のハニーポットを数分で見つけて侵害した事実はショッキングだった。今回の調査は、セキュリティに不備がある状態で露呈したサービスの危険性を見せつけた」とUnit 42は分析する。



 脆弱性のあるサービスは大抵の場合、異なる攻撃者によって1日に何度も侵害される。その攻撃発生の間隔が最も短かかったのもSSHだった。



 攻撃に使われたIPアドレスについては、同じIPが使い回されたケースはごく少数にとどまり、1カ月の観察期間中に使われた攻撃用IPアドレスの85%は1日のみの使用だった。このためUnit 42は、IPをベースに攻撃を阻止しようとするファイアウォールはほとんど役に立たないと強調し、「今日作成した悪意のあるIPのリストは、明日には古くなっている公算が大きい」と推測する。



 地域別にみると、アジア太平洋地域のハニーポットに対するSSH攻撃は、北米のハニーポットに対する攻撃よりも50%多く、欧州に比べると263%も多かった。



 この数字は攻撃の発信源とも相関関係があるという。攻撃者のIPアドレスはアジア太平洋からのものが全体の50%を占め、北米は20%、欧州は10%に満たなかった。日本のIPアドレスは全体の4.5%を占めて国別では10番目に多くなっている。



 「アジア太平洋のSSHサービスは、それ以外の地域に比べて攻撃を受ける可能性が大きい。そうしたサービスのほとんどは、他のクラウドワークロードともつながっていることから、侵害されればクラウド環境全体が破られる可能性もある」とUnit 42は警告する。



 こうした隙を突いて不正侵入されれば情報流出などの被害を引き起こしかねない。「REvil」や「Mespinoza」などのランサムウェア集団は、被害企業の環境に侵入する足掛かりとして、こうしたサービスを悪用することで知られているという。



 攻撃を防ぐための対策としてUnit 42では、特権ポートが開かれるのを防ぐ防止策の導入や、開かれているポート・露呈したサービスなどを監視する監査ルールの作成、設定ミスを自動的に修正するツール、次世代ファイアウォールの導入などを勧告している。


    ランキングIT・インターネット

    前日のランキングへ

    ニュース設定