メディア
特集:IoTがもたらす製造業の革新〜進化する製品、サービス、工場のかたち〜
ニュース
» 2021年10月14日 11時30分 公開

SolarWindsのケースから見る、クラウドセキュリティ接続の脆弱性企業の3分の1がセキュリティ問題を経験(2/2 ページ)

[Ann R. Thryft,EE Times]
前のページへ 1|2       

クラウドソフトウェアの脆弱性

 クラウドセキュリティの問題は、特定のクラウドプラットフォームや他のソフトウェアなどの脆弱性が原因で発生する場合もある。

 SolarWindsのハッキングについてWikipediaの記事を見てみると、Microsoftが自社ソフトウェアの脆弱性について忘れてほしいと思っている点が、以下の通り、あからさまに記されている。

 「Microsoftの認証プロトコル「NetLogon」に存在する脆弱性『Zerologon』により、攻撃者はMicrosoftの各ネットワークに侵入して、全ての有効なユーザー名やパスワードにアクセスすることが可能だ。このため攻撃者は、ネットワークの正規ユーザーの権限があると推測するために必要な追加認証情報にアクセスすることができ、結果としてMicrosoft Office 365の電子メールアカウントに不正アクセスすることができた。また、MicrosoftのOutlook Web Appには、攻撃者がマルチファクター認証をすり抜けることが可能な欠陥がある」

 さらに同記事によると、攻撃者は偽造した識別トークンを使用して、Microsoftの認証システムを欺いたという。

 FireEye Mandiantのセキュリティ研究グループは2021年8月に、Kalayクラウドプラットフォームの主要コンポーネントに重大な脆弱性が存在することを明らかにした。Kalayは、数百万台規模のIoT(モノのインターネット)デバイスにサービスを提供しているため、脆弱性によって、その全てのデバイスがリモート攻撃を受ける可能性があるのだ。

 FireEyeはブログに投稿した記事の中で、「影響を受けたデバイスの多くが、IPカメラやベビーモニター、DVR(デジタルビデオレコーダー)などのビデオ監視製品だったため、この脆弱性を悪用すると、攻撃者にライブの音声や映像データを傍受される可能性がある」と述べている。

 既報の通り、Wizの研究グループは最近、Microsoft「Azure」のクラウドプラットフォームの集中データベース「Cosmos DB」の脆弱性を発見した。このバグは簡単に悪用可能なため、攻撃者は、Cosmos DBを使用する数千社規模の企業のアカウントやデータベースに、完全かつ自由にアクセスすることができるという。またハッカーは、データの削除やダウンロード、操作なども実行できるだけでなく、Cosmos DBの基本的なアーキテクチャに対する読み書きアクセスも提供することが可能だ。

 Wizは、「これは、想像し得る中でも最悪のクラウド脆弱性だ」と指摘する。

AccuricsのDeveloper Advocate、Jon Jarboe氏

 Cosmos DBについて、AccuricsのDeveloper AdvocateであるJon Jarboe氏は、米国EE Timesに対し、「自分たちを守るために、まだまだやるべきことがたくさんあることを思い知らされた。クラウドプロバイダーがわれわれのデータに何をしているのか、クラウドユーザーが何をしているのか、必ずしも正確には分からないため、保護することが難しい」と述べた。

 Jarboe氏はさらに、「クラウドプロバイダーがデータの安全性を確保していることは分かっているが、転送中や使用中はどうだろうか。Cosmos DBの欠陥は、私たちの主要な鍵を、本来アクセスできるはずのない他の人に公開してしまった。これが可能であることをユーザーが認識するための良い方法もない。クラウドプロバイダーや組織は、より大きなセキュリティ像を明確にするため、もっとたくさんのことができる」と付け加えた。

 さらに、この脆弱性“Chaos DB”の件と同じくらい危険な別のAzureの脆弱性が、Palo Alto Networksによって開示された。“Azurescape”と呼ばれるこの脆弱性は、攻撃者が任意のユーザーのKubernetesコンテナサービスインフラストラクチャ全体を制御することを可能にするという。また、Wizに所属するCosmosDBの研究者は、Azure内にさらに重大な、悪用されやすいリモートコード実行の脆弱性を発見した。今回はOMIソフトウェアエージェントに存在する。この脆弱性“OMIGOD”は、「数え切れないほど」いるAzureの顧客に影響を与えるという。

 Jarboe氏は、「クラウドプロバイダーは正しいことをしようとしているが、自社ブランドも守らなければならない。そのため、自分たちがやっていることを説明することと、企業秘密を守ることとの間には、常に緊張がある。企業はできる限りのセキュリティを確保するが、結局、データが流出した形跡をダークWebで監視しなければならない。短期的には、それが唯一の対処法かもしれない」と述べた。

【翻訳:田中留美、編集:EE Times Japan】

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSフィード

公式SNS

All material on this site Copyright © ITmedia, Inc. All Rights Reserved.
This site contains articles under license from AspenCore LLC.