Half of Organizations Have Unmanaged Long-Lived Cloud Credentials
2024/10/21 InfoSecurity — Datadog の State of Cloud Security 2024 レポートによると、ユーザー組織の 46% が、クラウド・サービスで長期的に有効な認証情報を持つ、管理されていないユーザーを抱えており、データ侵害のリスクが高まっているという。長期間において有効な認証情報とは、クラウド内の認証トークン/キーによる、長期間にわたるアクセスを認めるものである。したがって、長期的に有効な認証情報に対しては、攻撃者が侵害に長い時間を費やすことが可能になり、クラウド侵害の主要な原因となっている。
また、長期的に有効な認証情報を悪用する攻撃者は、オリジナルの所有者と同じアクセス権と権限で永続的なアクセスを実現できる。
最新の Datadog レポートで判明したのは、この長期的に有効な認証情報が、すべての主要なクラウド・サービス・プロバイダーに広く普及していることであり、その中には Google Cloud/Amazon Web Services (AWS)/Microsoft Entra などが含まれることだ。
これらの認証情報の多くは古いものであり、その中には使用されていないものもある。具体的に言うと、Google Cloud サービス・アカウントの 60%/AWS Identity and Access Management (IAM) ユーザーの 60%/Microsoft Entra ID 46% で、1年以上を経過したアクセス・キーが用いられている。
Datadog の Head of Security Advocacy である Andrew Krug は、「長期的に有効な認証情報を安全に管理できると、組織が期待するのは非現実的なことであり、こうしたリスクを軽減する企業戦略が必要である」と、この調査結果ともとに警告している。
彼は、「長期的に有効な認証情報が、大きなリスクであることに加え、大半のクラウド・セキュリティ・インシデントが、認証情報の侵害により引き起こされていることが、このレポートで判明している。ユーザー企業は自らを守るために、最新の認証メカニズムで ID を保護し、有効期間が短期の認証情報を活用し、攻撃者に頻繁に悪用される API の変更について、積極的に監視する必要がある」とコメントしている。
リスクの高いクラウド権限が蔓延
このレポートでは、AWS EC2 インスタンスの 18% と、Google Cloud VM の 33% において、プロジェクトに関連する機密権限が保存されていることも判明している。ワークロードを侵害した攻撃者が、その権限を悪用して認証情報を盗み出し、クラウド環境へのアクセスを達成し、ユーザー組織に損害を与えるリスクが高まる。
さらに、サードパーティ統合の 10% において、リスクの高いクラウド権限が共有されており、アカウント内の全データへのアクセスや、アカウント全体の乗っ取りが、ベンダーを介して可能になっている。
この調査では、サードパーティ統合ロールの 2% において、外部 ID の使用を強制していないことも判明している。それにより攻撃者は、” Confused Deputy (混乱した代理人)” 攻撃を介して侵害を達成できる。それは、アクションを実行する権限を持たないエンティティが、高権限のエンティティにアクションを実行させるように、強制することが可能な状況である。
その一方で Datadog は、この1 年間でクラウド・ガードレールの採用が増加していることも指摘している。たとえば、S3 バケットの 79% は、アカウント全体またはバケット固有の S3 パブリック・アクセス・ブロックでカバーされており、2023 年の 73% から増加している。
この傾向は、クラウド・プロバイダーたちが、ガードレールをデフォルトで有効化し始めたことに要因があると、Datadog は述べている。
いいのかなぁと思いつつ、便利だなぁと使い続ける、長期的に有効な認証情報ですが、やはり侵害の入口になり得ますよね。理想的なのは、ユーザーごとに有効期間を設定できるような仕様なのでしょうが、エンタープライズの場合にはガバナンスを効かす必要が生じるでしょう。今後、議論が活性化する領域かもしれませんね。よろしければ、カテゴリ AuthN AuthZ も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.