Amazon RDS スナップショットの問題：意図しない共有により PII が漏洩

Thousands of Amazon RDS Snapshots Are Leaking Corporate PII

2022/11/17 DarkReading — Amazon のクラウドベース・データバックアップ・サービスを介して、毎月のように何十万ものデータベースが不注意により公開されている。このような状況を悪用する脅威アクターたちは、個人を特定できる情報 (PII : Personally Identifiable Information) にアクセスし、恐喝やランサムウェアといった脅威のアクティビティに利用されることが、研究者たちにより判明した。

Amazon RDS (Relational Database Service) は、MySQL や PostgreSQL などの任意のエンジンをベースにデータベースを提供する、人気の高い Platform-as-a-Service である。そして RDS スナップショット (データベース・インスタンスのストレージ・ボリューム・スナップショット) は、ユーザー組織におけるデータベース・バックアップにとって有益かつ直感的な機能であり、公開データやテンプレート・データベースをアプリケーション間に共有できると、研究者たちは述べている。

最近のことだが、Mitiga のリサーチ・チームが、多数の Amazon RDS スナップショットが、意図的／誤用は別にして、パブリックに共有されている形で、漏えいしていることを発見した。

研究者たちは１ヶ月の間に、2,783件の RDS スナップショットを観察し、そのうち 810件は、１ヶ月にわたり公開されたと述べている。また、2,783件のスナップショットのうち 1,859件は、公開の期間が１日〜２日と限定されていたが、それでも攻撃者にとっては、データ流出を行うのに十分な時間であると報告されている。

その一方で、組織に所属する個人は、ユーザーのプロファイルやロールを気にすることなく、この機能を用いて、同僚とスナップショットを共有できる。つまり、スナップショットがパブリックに共有されるシナリオが、そこにあると、研究者は述べている。

研究者たちは、「これらのスナップショットは、RDS スナップショットを一般に公開する AWS アカウントと同様に、オンプレミス組織の内外に存在する、別の Amazon Web Services アカウント間で共有できる。したがって、たとえネットワーク構成が高度で安全であっても、意図せずに機密データを外部に漏らしてしまう可能性が生じる」と述べている。

研究者たちは 11月16日付のブログ記事で、「数カ月にわたる暴露もあれば、短期間の暴露もあり、いずれの場合も、脅威アクターにより悪用される可能性が生じる」と述べている。

クラウドのミスコンフィグレーションとユーザーエラーの発見

Mitiga の研究者である Ariel Szarf／Doron Karmi／Lionel Saposnik の各氏は、この投稿の中で、パブリックなインターネット上で、企業のリソースを共有できるクラウドベース・サービスの、脆弱なセキュリティを悪用する可能性を、繰り返して強調している。

彼らは、「攻撃者は常に、組織の機密情報を手に入れる新しい方法を探している。その大半の目的は、金銭的な利益を得ることにある。クラウド・リソースを、広く世界に共有できる一部のクラウド・サービスは、ディスク・スナップショット (EBS) や DB スナップショット (RDS) などのリソースを介して、意図せず情報を暴露するという、ユーザー組織における新たな脅威を露呈している」と指摘している。

Mitiga チームは、今回の研究を実施するために、AWS ネイティブな技術を開発した。それは、AWS Lambda Step Function と boto3 を用いるもので、AWS 環境への統合が簡単であり、スナップショット露出の調査のためにカスタマイズが可能なものだという。

残念なことに、攻撃者たちも、公開スナップショットを表示し、同じタスクを実行するために、このようなツールの開発が可能である。つまり、これらのインターネットに接するリソースから、データを盗み出した後に悪用し、それを所有する組織を脅すことが可能だと、研究者たちは述べている。

この１ヶ月に及ぶ調査の中で、研究者たちは、公開されたスナップショットからデータにアクセスできた、いくつかの具体的な事例を紹介している。

その１つは、レンタカー会社のものと思われる MySQL データベースが、約１ヶ月に渡り公開されていたものだ。公開されたデータには、顧客の個人情報を含むレンタカー取引に関する情報であり、同社が保有する車の種類などの業務知識データや、特定のレンタル情報などが含まれていた。

また、４時間未満の時間枠で公開された別のスナップショットは、現在は機能していない出会い系アプリケーションのデータベースだった。そこには、メール／パスワード ハッシュ／生年月日／個人画像へのリンク／プライベート メッセージなどの、約 2,200 人分の個人データを含むユーザーテーブルがあった。

個人情報がなくても問題は生じる

研究者たちは、一般に公開された RDS スナップショットに、個人情報が含まれていない場合であっても、データベースとデータの所有者を脅威アクターが突き止める方法が、まだ残っていると述べている。

今回の調査で行ったのは、スナップショット名と企業名を参照するだけの範囲だが、数多くのスナップショットのアカウント ID 所有者を特定することができたという。

さらに、すべてのスナップショットのメタデータには、MasterUsername というフィールドがあり、それによりメインのデータベースのユーザー名が示唆されると、研究者たちは説明している。多くのケースにおいて、このユーザー名では、データベースを所有する企業名が完全な形で記載されていたという。また、頭文字やショートカットで識別されるものもあれば、その企業の従業員名が含まれるものもあると、彼らは述べている。

従業員名から特定するケースだが、研究者たちは悪質で効果的な方法として LinkedIn 検索を行い、ユーザー名で特定される人物の勤務先を調べた。それは、脅威アクターも採用できる方法であると、彼らは指摘している。

問題の軽減

Amazon RDS を使用している組織の多くは、パブリック・スナップショットの存在すら知らない可能性があるため、それぞれの環境を確認することが、この問題を軽減するための最初のステップであると、研究者たちは述べている。

Amazon は、有用なサービスを提供している。RDS スナップショットをパブリックに共有した場合には、そのユーザーに対してメールが迅速に送信され、公開スナップショットに関する通知が行われ、それが意図したものであることが確認される。研究者たちが行ったテストでは、公開から 23分後に、このメールは受信された。

さらあに研究者たちは、悪用される可能性にある公開スナップショット作成の有無を発見するための、CloudTrail ログを用いて履歴チェックを行う方法を、ステップバイステップで概説している。

Amazon RDS のパブリック・スナップショットを作成されないようにするには、組織的に「最小限の権限」を採用し、必要な場合にのみ権限を付与するという、適切な権限管理を徹底する必要がある。

また、AWS の組織レベル・ポリシーである SCP (Service Control Policies) を設定し、組織の最大権限を指定することも可能だと、研究者は述べている。AWS の root アカウントに SCP を適用して、RDS スナップショットに対する特定の操作を拒否すれば、誤った RDS DB 共有を防ぐことが可能だという。

また、KMS キーにより、AWS のスナップショットを暗号化することも可能だ。この方法を用いれば、暗号化されたスナップショットのパブリックな共有は不可能になることを、研究者たちは調査で確認したと述べている。

一連の緩和策における障害は、Amazon RDS データベースの公開スナップショットの、コピーを追跡する方法が存在しないことだ。公開スナップショットを別のアカウントにコピーした場合や、スナップショットの所有者の別アカウントでデータベース・インスタンスを復元した場合の、ログイベントが存在しないためだと、研究者たちは述べている。

この問題について、Mitiga は AWS にアプローチしている。研究者たちは、「RDS のコピーとリストアの操作ログが、現時点では利用できないことを確認した上で、このプラットフォームでサポートすべき、追加の機能要求を行った」と述べている。

Amazon のミスコンフィグレーションに関連するインシデントとしては、2021年10月の「AWS S3 Buckets の管理：大多数のユーザーが潜在的に抱える問題とは？」や、2011年1月3日の「SEGA Europe が AWS S3 バケットを誤って公開：データとインフラが危険に」、6月7日の「Pegasus Airline から漏洩した 6.5TB の機密情報：CSPM があれば AWS S3 バケットを守れたのか？」などがあります。何度も繰り返され、これからも繰り返されるのが、クラウドのミスコンフィグレーションなのだろうと感じます。よろしければ、Amazon で検索と、AWS で検索も、ご利用ください。