ラック サイバー救急センター グループリーダー 初田淳一氏

ラックは1月30日、同社のサイバー救急センターが事故(インシデント)調査で得た情報を基にサイバー攻撃の動向などを分析した「サイバー救急センターレポート 第8号〜クラウドサービスのインシデント対応〜」を公開した。

同センターの「サイバー119サービス」では、事前契約の有無にかかわらず、24時間365日、官公庁・企業・団体などの組織からのサイバー事件・事故の緊急コールを受けて出動し、事故対応を支援している。

サイバー救急センター グループリーダー 初田淳一氏は、2019年の同センターの出動・相談傾向の特徴として、「ランサムウェア(GandCrab、Ryuk、Dharmaなど)・ボット(Emotet)の被害が多数」「複数のAPT(標的型サイバー攻撃)事案では海外オフィスや関連子会社からの侵害」「クラウドでのインシデント対応の増加」を挙げた。2019年は約300件のインシデント対応を行ったという。

こうした状況を踏まえ、レポートでは、クラウドサービスのインシデント対応をテーマに据えている。具体的には、Amazon Web Servicesにおけるインシデント2件紹介している。

1つ目のインシデントは、オンプレミスからクラウドに移行する際にテスト環境に不正侵入を受けたというものだ。原因は、AWSの強固な初期パスワードを脆弱なパスワードに変更したことにあり、脆弱なパスワードのテスト目的のサーバをそのまま本番システムに移動したことで、問題が発生したという。あわせて、ネットワークのアクセス制御にも不備があったそうだ。

Amazon Web Servicesにおけるインシデントの概要

2つ目のインシデントは、高額な請求からインシデントが発覚したというもの。アクセスキーが漏れていたことで、不正に複数の仮想マシンを構築されて、仮想通貨のマイニングが行われてしまったという。初田氏は、「クラウドサービスのアクセスキーやサービスアカウントキーが、パスワードと同様に重要な認証情報として意識されていないのが問題」と指摘した。

Amazon Web Servicesにおけるインシデントの概要

そのほか、同レポートでは、「クラウドサービスのフォレンジック調査」「クラウドサービスへのセキュリティ診断」「AWSシステムのセキュリティ対策」などを紹介している。

クラウドサービスのセキュリティ診断については、2018年にオンプレミスとクラウドで確認されたMedium以上のリスクの割合が紹介されている。Highリスクの脆弱性はオンプレミスではいくつか検出されましたが、クラウドでは検出されなかったという。その理由としては、多くのクラウドサービスはデフォルトセキュアの考えを取っており、必要最小限のポートのみを許可していることが挙げられている。

2018年にオンプレミスとクラウドで確認されたMedium以上のリスクの割合