Google Cloud Platform のフォレンジック・ログに欠陥:どのような処方箋があるのか?

Google Cloud Platform allows data exfiltration without a (forensic) trace

2023/03/01 HelpNetSecurity — Google Cloud Platform (GCP) のストレージ・バケットに保存された企業データを、GCP のストレージ・アクセスログに悪意の活動のフォレンジック・トレースを残すことなく流出させられることが、Mitiga の研究者たちにより明らかにされた。ここで提起された重要な問題は、GCP の基本的なストレージログ (デフォルトでは無効化) が、異なるタイプのアクセスに対して同じディスクリプション/イベント (objects.get) を使用しているという点である。具体的に言うと、ファイルの読み取り/ファイルのダウンロード/外部バケットへのファイルのコピー/サーバへのファイルのコピー、ファイルおよびオブジェクトのメタデータの読み取りといったタイプが挙げられる。

GCP data exfiltration attack (Source: Mitiga)
GCP のバケットから隠密裏にデータを流出させる

Mitiga の Cloud Incident Responder である Veronica Marinov は、「組織の日常的な活動の中で、1日に何度も読み込まれる。そのアクションは、数千から数百万の読み取りイベントにつながる可能性がある。ただし、ダウンロードや外部バケットへのコピーといった、特定の攻撃パターンの特定が不可能なため、なんらかの情報が盗まれたとしても、それを判断することが極めて困難になる」と述べている。

彼は、「想定される攻撃の例を挙げると、標的となる組織に属する従業員の GCP ユーザー・アカウントを驚異アクターが制御し、そのアカウント内の Google コマンドラインへの簡単な入力により、脅威アクターが所有する GCP アカウントへと、データをコピーする許可が与えられる」とも詳述している。

問題の緩和と脅威ハンティングの手順

Mitiga と Google のセキュリティ・チームは、この件について脆弱性ではなく、”セキュリティの欠陥” だと捉えている。Marinov は、「Google のセキュリティ・チームに連絡をとり、この問題について彼らと協力した後に、この攻撃を軽減/検出するために行う手順のリストを共同で作成した」と付け加えている。

これらのステップには、Google が管理するリソースのサービス境界を定義し (VPC Service Controls を介して)、それらのサービスとの間の通信の制御や、組織制限ヘッダーを用いたクラウド・リソース・リクエストの制限などを実施することが含まれる。

VPC Service Controls および組織制限ヘッダーが無効化されている場合には、以下に示す異常の検索が推奨される:

  • Get/List イベントの時間帯の異常
  • Get/List イベントを実行する IAM エンティティーの異常
  • Get/List リクエストが発信する IP アドレスの異常
  • 単一のエンティティから発信される短時間での Get/List イベント量の異常

最終的に管理者は、ストレージ・リソースへのアクセスを制限することも可能であり、読取/転送パーミッションの削除を検討することも可能だ。

たとえば、AWS では、アクセスの種類をログで区別しているのに、なぜ Google は別しないことを選択したのかは不明である。

UPDATE:2023年3月1日午後12時10分 (米国東部時間)

Google Cloud の広報担当者は、「Google Cloud Storage の監査ログが不十分であるとの報告について、当社のセキュリティ・エンジニアが精査した結果として、流出リスクは無いことが確認された。したがって、脆弱性ではない」と、Help Net Security に語っている。

同社は、「Google Cloud の顧客に対しては、VPC Service Controls を使用し、Google Cloud Storage のバケットに組織制限を設定し、流出防止を図ることを推奨する。それにより、適切に設定されたクラウド監査ログ環境で、顧客のデータの安全性は保証される。ログ・フォレンジックの改善は、顧客から提起された問題ではないが、私たちは、顧客のストレージに対する洞察を向上させる方法を、継続的に評価していく。当該ブログで指摘されたフォレンジックのギャップは、私たちが検討している分野の1つである」と付け加えている。

これは、ちょっと誠実さにかける対応ですね。明らかに、やるべきことを、やっていないのに、「流出リスクが無いことが確認されたので脆弱性ではない」というのは、Google というブラインドのイメージを壊すものだと思います。Google に限らずですが、クラウド環境におけるセキュリティの問題が、あちらこちらで提起されている感じがします。それだけに、ログは重要ですね。よろしければ、以下の記事も、ご参照ください。

2023/02/27:SaaS-to-SaaS 接続のリスク
2023/01/28:SaaS Shadow IT をゼロにしたい
2022/09/02:SaaS 利用に関する調査:利便性と安全性
2022/05/12:SaaS-to-SaaS:保護すべき対象がズレ始める

%d bloggers like this: