全2367文字
PR

クラウドサービスを活用する企業を狙った不正アクセスの被害が増えている。特に注意が必要なのはクラウド上に開発環境を設けるケースだ。開発したソースコードが窃盗・解析され、不正侵入の足がかりになっている。

 クラウドサービスを使う企業や団体を狙ったサイバー攻撃が日本でも目立ってきた。記憶に新しいのは、米セールスフォース・ドットコムが手掛けるクラウドサービスの「設定不備」に起因する不正アクセスだ。2020年12月以降、楽天やPayPay、イオン、神戸市、全日本空輸(ANA)などが次々に被害を公表している。

 もっともこの問題は、クラウド利用企業への攻撃としては「氷山の一角」にすぎない。情報処理推進機構(IPA)のセキュリティセンターが2021年2月に公表した「コンピュータウイルス・不正アクセスの届出状況」によると、2020年に届け出のあった不正アクセス被害のうち「クラウドサーバー」が狙われたケースは30件あった。

 63件の「Webサーバー」と31件の「クライアントパソコン」に次いで3番目に多い水準だ。クラウドサービス活用の広がりとともに攻撃者の侵入口も増えているわけだ。

図 不正アクセス電算機別件数の比率(2020年)
図 不正アクセス電算機別件数の比率(2020年)
クラウドサーバーへの不正アクセスは3番目の脅威となった(出所:情報処理推進機構「コンピュータウイルス・不正アクセスの届出状況[2020年(1月~12月)]」)
[画像のクリックで拡大表示]

クラウド開発環境から認証情報漏洩

 クラウドを狙う新たな攻撃手法も相次ぎ登場している。例えばIPAが2020年7~12月に発生した不正アクセスとして報告したのは「クラウド上の開発環境からソースコードを盗み、そこに含まれていた認証情報を悪用して別のクラウド上の本番環境にアクセスし、最終的にデータベースの情報を盗む」という手口だ。

 クラウド上にシステムの開発環境やテスト環境を構築するケースは少なくない。ローカルの開発環境に比べて整備・運営やテストにかかる手間を削減できるためだ。それだけに、多くの企業にとって対岸の火事では済まない問題といえる。

 この不正アクセスは、外部のセキュリティー研究者がA社の内部情報とみられるデータをA社とは無関係の海外サイトで発見し、A社に知らせたことで明るみに出たという。A社が被害状況を調べたところ、パブリッククラウド上に仮想的に設けたプライベートクラウド内の本番用データベースサーバーに何者かが侵入し、データを盗んでいたことが判明した。

 前提として、A社は仮想プライベートクラウド内で使用しているIPアドレス以外からのデータベースサーバーへのアクセスを遮断するなど、定石通りのセキュリティー対策を施していた。にもかかわらず攻撃者の不正アクセスを許してしまった。

 攻撃の足がかりになったとみられるのは、A社がソフトウエア開発のソースコードを管理していたクラウド上の開発プラットフォームだ。A社は開発プラットフォームにアクセスするためのアカウントについて「2要素認証」を設定していた。