New Research: The Urgent Threat of Ransomware to S3 Buckets
2021/10/07 SecurityBoulevard — AWS S3 Buckets は信頼性が高いと評価されており、安心して利用できる。しかし、多くのクラウド・セキュリティ関係者は、S3 Buckets が予期せぬソースからの、大きなセキュリティ・リスクに直面していることを認識していない。それは ID である。漏洩した ID は、資格の組み合わせにより、組織のデータに対するランサムウェア攻撃を容易に許してしまう。
最近の研究によると、Ermetic 分析エンジンを使って実際の環境をサンプリングし、以下の要素が全て当てはまる場合に、有害なシナリオが生じることが発見された。
・ランサムウェアの実行を可能にする、権限の組み合わせを持つ ID が存在する。
・その ID がアクセスできる S3 Buckets で、効果的なミティゲーション機能が有効になっていなかった。
・その ID が、インターネットに公開されているなど、侵害される可能性のある1つ以上のリスク要因にさらされていた。
今回の調査では、不特定の組織における環境内に、ランサムウェアが存在する可能性が非常に高いことが明らかになった。主な調査結果は以下のとおりである。
・調査対象となった全ての環境で、リスク要因を持つ ID と同様に、なんらかの AWS アカウント Buckets の 90%以上で、ランサムウェアを実行できる可能性が生じる。
・70% 以上の環境で、インターネットに公開されているマシンが存在し、そのマシンでランサムウェアを実行するための権限を持つ ID が存在していた。
・45% 以上の環境で、管理者レベルに権限を昇格させることで、ランサムウェアの実行を許してしまうサードパーティの ID が存在していた (ランサムウェア以外にも潜在的な有害性を持つ驚くべき発見であり、この件については別の機会に紹介する)。
・約 80% の環境で、180日以上にわたり使用されていない、有効なアクセスキーを持つ IAM ユーザーが、ランサムウェアを実行する可能性が生じる。
これらの調査結果は、侵害された単一の ID を伴う Smash and Grab (強引な) オペレーションに焦点を当てたものだが、深刻な状況にあることが明らかになった。たとえば、ターゲットを絞ったキャンペーンで、脅威アクターが横方向へと移動して複数の ID を侵害し、それらを組み合わせた権限を使用することで、ランサムウェアの実行能力が大幅に上がってしまう。
<中略:長いので・・・>
結論
明らかに、状況は深刻である。信頼性が高いとされる AWS S3 Buckets は、データのバックアップ先として利用される頻度が高い。しかし、S3 Buckets 内のデータを、そのデータを管理する権限を持つ ID から保護することはほぼ不可能である。ひとたび侵害が報じると、それらの ID の存在が、企業がランサムウェアに晒される大きなリスクとなり、ビジネスにとって膨大なコストをもたらす可能性を生じる。
クラウド・セキュリティにおけるランサムウェア・リスクは、加害者が執拗に新たな攻撃対象を追求しているため、拡大の一途をたどっている。クラウド・インフラのセキュリティを担当する者は、ランサムウェアの攻撃を防ぐ方法を知っておく必要がある。
AWS S3 Buckets の露出を減らし、潜在的なリスクを軽減することで、ランサムウェアからクラウド環境を守っていくための、いくつかの戦略的な行動を提案する。これらの行動には以下の項目が含まれる。
・最小限の権限を戦略として導入する:ビジネス機能を実行するために必要な最小限の権限を許可する、ID 権限戦略を設計/導入することで、脅威アクターが Buckets 上でランサムウェアを実行する可能性が大幅に低減していく。
・リスク要因の除去 :特定のベスト・プラクティスを適用することで、一般的な誤設定を除去できまる。それにより、ランサムウェアの実行者が ID を侵害して、その資格と組み合わせられる脆弱性が減っていく。
・ログとモニタリング : CloudTrail や CloudWatch などのツールを使用して、センシティブなアクションをロギング/モニタリングすることで、ランサムウェアが進行中であることを示すイベントを特定し、迅速な対応を行うことが可能となる。
・削除操作の防止:MFA Delete や Object Locks などの、S3 Buckets 上で直ちに利用できる、AWS の機能や設定を効果的に利用することで、悪意の削除を防止できる。
・Buckets の複製: 特に機密性の高い Buckets に対して設定し、その内容を自動的に、別の専用 Buckets にバックアップすることで、データ・セキュリティの継続的な向上が可能になる。
この記事は、Ermetic というベンダーの Blog を、Security Boulevard が取り上げたものです。その Security Boulevard の抜粋翻訳が、このポストになりますので、ご興味のある方は元記事をご参照ください。かなり長い記事で、他にも訳したいものがあるので、ということで、途中を飛ばしてしまいました。物理的にアクセスできないクラウドは、攻撃者に対するアドバンテージが、何も存在しない世界でもあります。それ故に、普段からの管理が重要になります。以前にポストした、「クラウド環境の危険性:Role パーミッションについて再考しよう」も、よろしければ ど〜ぞ。
IoT OT Security News 