クラウドサービスを使う企業や団体を狙ったサイバー攻撃が日本でも目立ってきた。記憶に新しいのは、セールスフォース・ドットコムが手掛けるクラウドサービスの「設定不備」に起因する不正アクセスだ。2020年12月以降、楽天やPayPay、イオン、神戸市、全日本空輸(ANA)などが次々に被害を公表している。
もっともこの問題は、クラウド利用企業への攻撃としては「氷山の一角」にすぎない。情報処理推進機構(IPA)のセキュリティセンターが2021年2月に公表した「コンピュータウイルス・不正アクセスの届出状況」によると、2020年に届け出のあった不正アクセス被害のうち「クラウドサーバー」が狙われたケースは30件あった。
63件の「Webサーバー」と31件の「クライアントパソコン」に次いで3番目に多い水準だ。クラウドサービス活用の広がりとともに攻撃者の侵入口も増えているわけだ。
クラウド開発環境から認証情報が漏洩
クラウドを狙う新たな攻撃手法も相次ぎ登場している。例えばIPAが2020年7~12月に発生した不正アクセスとして報告したのは「クラウド上の開発環境からソースコードを盗み、そこに含まれていた認証情報を悪用して別のクラウド上の本番環境にアクセスし、最終的にデータベースの情報を盗む」という手口だ。
クラウド上にシステムの開発環境やテスト環境を構築するケースは少なくない。ローカルの開発環境に比べて整備・運営やテストにかかる手間を削減できるためだ。それだけに、多くの企業にとって対岸の火事では済まない問題といえる。
この不正アクセスは、外部のセキュリティー研究者がA社の内部情報とみられるデータをA社とは無関係の海外サイトで発見し、A社に知らせたことで明るみに出たという。A社が被害状況を調べたところ、パブリッククラウド上に仮想的に設けたプライベートクラウド内の本番用データベースサーバーに何者かが侵入し、データを盗んでいたことが判明した。
前提として、A社は仮想プライベートクラウド内で使用しているIPアドレス以外からのデータベースサーバーへのアクセスを遮断するなど、定石通りのセキュリティー対策を施していた。にもかかわらず攻撃者の不正アクセスを許してしまった。
攻撃の足がかりになったとみられるのは、A社がソフトウエア開発のソースコードを管理していたクラウド上の開発プラットフォームだ。A社は開発プラットフォームにアクセスするためのアカウントについて「2要素認証」を設定していた。
ところが開発プラットフォームには、A社のあずかり知らぬ脆弱性があった。
「通常のログイン方法とは別に、2要素認証が動作しないアクセス経路が存在していた」(IPA)というのだ。攻撃者はこの脆弱性を突いて何らかの方法で認証を突破し、ソースコードを盗んだわけだ。
ただ開発プラットフォームに脆弱性があった一方で、A社のソースコードにも不備があった。
