Experts Reveal Google Cloud Platform’s Blind Spot for Data Exfiltration Attacks
2023/03/06 TheHackerNews — Google Cloud Platform (GCP) のフォレンジック可視性が不十分であることを利用して、脅威アクターたちによる機密データの流出が可能なことが、最新の研究で明らかになった。クラウド・インシデント対応企業である Mitiga のレポートには、「残念ながら、GCP は、フォレンジック調査に必要なストレージ・ログの可視性を備えていない。そのため、潜在的なデータ流出攻撃を、組織は見過ごす可能性がある」と述べている。
この攻撃の成立要件は、ソーシャル・エンジニアリングなどの方法で、標的組織の ID/アクセス管理 (IAM:Identity and Access Management) エンティティを攻撃者が制御し、GCP 環境にアクセスできる状態が前提条件となる。
問題の根本は、GCP のストレージ・アクセス・ログが、ファイルアクセスや読み取りイベントに関して適切な透明性を提供しない代わりに、それらをすべて単一の “Object Get” アクティビティとしてグループ化する点にある。
Mitiga の研究者である Veronica Marinov は、「同じイベントが、ファイルの読み取り/ファイルのダウンロード/外部サーバーへのファイルのコピー/ファイルのメタデータの読み取りなどの、さまざまなタイプのアクセスに使用されてしまう」と述べている。
したがって、悪意のユーザーと正当なユーザーの活動を識別する方法が失われることで、攻撃者は検知されることなく、機密データを取得できる可能性を得てしまう。
Mitiga が行った仮想攻撃では、Google のコマンドライン・インターフェイス (gsutil) を用いるダミーの脅威アクターが、被害組織のストレージ・バケット内の機密データを、攻撃者が管理する外部ストレージ・バケットに転送できた。
その後に Google は、Virtual Private Cloud (VPC) サービス・コントロールや、組織制限ヘッダーによるクラウド・リソース・リクエスト制限するなどの、さまざまな緩和策を提供している。
今回の情報開示は、Sysdig が発見した高度な攻撃キャンペーン SCARLETEEL が、コンテナ環境を標的とし、被害者のデータやソフトウェアを窃取するというインシデントに起因している。
この件については、2023/03/01 の「Google Cloud Platform のフォレンジック・ログに欠陥:正しく機能させるためのワークアラウンド」でも紹介していますが、今日の記事は攻撃者の視点から見たものとなります。この記事の元データとなる、Mitiga の Security Advisory: Insufficient Forensic Visibility in GCP Storage も、ぜひ、ご参照ください。また、Google で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.