エンタープライズ・ストレージ環境の調査:惨憺たる結果は他人事ではない

Enterprise Data Storage Environments Riddled With Vulnerabilities

2021/10/15 DarkReading — ランサムウェア攻撃が急増しているが、企業におけるストレージ/バックアップ環境のセキュリティ対策は、IT インフラのコンピュータ/ネットワーク層に比べて、非常に脆弱であることが新しい調査で明らかになった。

Continuity は、銀行/金融サービスおよび、運輸、ヘルスケアなどの分野の顧客が所有する、423台のストレージ・システムから収集したデータを分析した。分析対象となったのは、SAN/NAS (Storage Area Network/Network Attached Storage) システムおよび、ストレージ管理サーバ、仮想 SAN、仮想ストレージ、データ保護アプライアンスなどとなる。

分析の結果、数多くのストレージ環境に脆弱性が存在し、ランサムウェア攻撃や、データの窃取/複製/改竄/破壊を目的とした攻撃を受けた場合に、組織に大混乱が生じるリスクが高まっていることが判明した。

Continuity の CTO である Doron Pinhas は、「ギャップが見つかるのは当然だが、これほど多くのギャップが見つかるとは思っていなかった。今回の調査では、ストレージ/バックアップ・システムにおけるセキュリティ・ギャップが、広範囲にわたって存在することが明らかになった。ギャップはシステム的なものであり、意識/計画/実施/管理といった複数の領域に現れている」と述べている。

Continuity の調査員は、分析した 423台のストレージ・システムから、6,300件以上の固有のセキュリティ問題を発見した。各デバイスには、平均で 15件の脆弱性が存在し、そのうち3つは悪用されると重大な被害をもたらすものだった。最も一般的なセキュリティ・リスクには、脆弱なプロトコルや設定不良、および、パッチ未適用の脆弱性、過度に寛容なアクセス権、安全でないユーザー管理/認証制御、セキュリティ・アクセス活動に対する不十分なログなどが含まれていた。

Pinhas は、「脆弱性の中には、意識や知識の欠如が原因となっているものもある。また、単に隙間に落ちているものもある。たとえば、情報セキュリティ・チームは、その脆弱性をよく知っていても、IT インフラ・チームは知らなかったり、その逆だったりすることがある。コラボレーションが欠如しており、明確なオーナーシップが定義されていない」と述べている。

プロトコルの問題

Continuity によると、ストレージ・プロトコルに関しては、SMBv1 や NFSv3 といった旧バージョンのプロトコルが無効にされていないケースや、それらをデフォルトで使用している企業が多く見られた。また、TLS 1.0 や TLS 1.1 などの古い (推奨されていない) 暗号化スイートを引き続き使用しているケースや、PCI DSS などの規制に違反して SSL 2.0 や SSL 3.0 を無効にしているケースがあった。さらに、重要なデータ・フィードの暗号化を実施していない企業が多いことも判明した。

また、Continuity の調査対象となった 423台のデバイスの多くは、共有ストレージに無制限にアクセスできるように設定されているケースや、外部ネットワークからアクセスできるように設定されているケースがあった。それらの企業は、他の IT 環境と同じように、認証とロールをベースにしたアクセス制御を厳密に適用していなかった。多くの場合において、それらの組織には、日常業務にデフォルトのシステム・アカウントを使用するケースや、管理者のパスワードを共有するケースが見られた。

また、ロールを分離するための基本原則も守られていないことが多かった。たとえば、データ管理に使用されていたロールが、データのバックアップやスナップショットにも使用されているケースが見られた。また、今回の調査の対象となったストレージ・システムのうち、15% (60台以上) が、アクティビティのログを全く取っていなかった。少なくとも一部のログを記録していたシステムにおいても、かなりの割合で操作されやすいように設定されていた。

Continuity によると、新しいストレージ・システムは、ランサムウェア攻撃に対して、保持しているデータのコピーのロックや、データの改竄/削除の防止などの、特定の保護機能を備えているが、それらの機能は見落とされがちだ。また、それらの機能が使用されている場合でも、設定に関しては、ベンダーが推奨するベスト・プラクティスを満たしていない。このような問題の積み重ねが、企業のリスクを著しく高めていると Pinhas は指摘している。

彼は、「ランサムウェアの成功は、氷山の一角に過ぎない」と述べている。ストレージ環境へのアクセスに成功した攻撃者は、レプリカ/バックアップ/イミュータブルコピー/ストレージベース・スナップショット/リカバリーキーなどの、利用可能な全てのリカバリー・オプションを破壊できる。

その他のリスクとして、敵対者がストレージ環境へのアクセスを利用して、痕跡を残さずに機密データのクローンを作成/改竄するケースが挙げられる。Pinhas は、「既存の脅威情報ソリューションは、ストレージを十分にカバーしていない。IDS システムは、バックアップ・プレーンのストレージ上でダイレクトに実行されるデータフローに気付かない」と指摘している。

技術的に言えば、ストレージ管理者による、運用環境内での既知のセキュリティ脆弱性 (CVE) を検出することに困難は無いはずだ。しかし、既存の脆弱性管理ツールが、ストレージ/バックアップを十分にカバーしていないこともあり、大半に組織において、この点が自動化されていないのが現状である。「全くカバーしていないベンダーもあれば、表面をなぞるだけのベンダーもある」とPinhas は述べている。

重要なことは、企業のストレージ環境における脆弱性は、技術的な問題よりも人やプロセスの問題であることが多いということだ。企業は通常、ストレージ・システムを適切に保護するために必要なものを、ほとんど所有している。より大きな問題は、意識/教育/情報に基づいた、計画/管理に関係していると Pinhas は言う。

Pinhas は、テクノロジーやベンダーを含めて、組織内で運用されている環境を、明確に理解することから始めることを推奨している。また、ストレージ/バックアップのセキュリティ・ベースラインを設定し、ストレージ・システムが企業全体のインシデント対応計画の一部であることを確認する必要がある。また、情報セキュリティ・チームとインフラ・チームのどちらがス、トレージのセキュリティに責任を持つかを明確にすることも重要が。

Pinhas は、「ストレージ/バックアップ環境のセキュリティに、もっと注意を払う必要がある。それを怠ると、ランサムウェアのような、データを狙った攻撃にさらされることになり、復旧能力が低下してしまう」と付け加えている。

ストレージの脆弱性情報を拾っていて、比較的に目につくのは、QNAP と Synology です。最近のトピックとしては、「QNAP と Synology の NAS を狙う eCh0raix ランサムウェアとは?」と、「QNAP NAS と OpenSSL 脆弱性:現時点では対応中とのこと」、「Synology SNA 問題:OpenSSL の脆弱性が一部のバージョンに影響」がありました。また、QNAP の検索や、Synology の検索でも、いろいろと情報が出てきますので、よろしければ、合わせて ど〜ぞ。

%d bloggers like this: