クラウドを危険にさらすIaCテンプレートが約20万件 パロアルト：「クラウド脅威レポート 2020年春」を発表

パロアルトネットワークスが発表した「クラウド脅威レポート 2020年春」によると、脆弱性を含んだクラウドのIaCテンプレートが、19万9000件以上も見つかった。暗号化されていないクラウドデータベースも43％を占めていた。

[＠IT]

　パロアルトネットワークス（以下、パロアルト）は2020年3月6日、「クラウド脅威レポート 2020年春」を発表した。IaC（Infrastructure as Code）テンプレートを利用してクラウドインフラを自動構築する際に適切なセキュリティツールとプロセスが利用されず、さまざまな脆弱（ぜいじゃく）性によってこれらのテンプレートが改ざんされる事例が増えてきている、としている。

クラウド脅威レポート 2020年春（出展：パロアルトネットワークスWebページより引用）

クラウドの設定ミスはテンプレートの利用が原因

　今回のレポートによると、重大度が「中」から「高」程度の脆弱性を含んだクラウドのIaCテンプレートが、19万9000件以上も見つかったという。パロアルトの2019年の調査によると、クラウドに関するインシデントの65％が単純な設定ミスによるものだった。そのため同社は、「今回の調査で見つかったクラウドの設定ミスは、テンプレートの利用が原因だと示唆される」と分析している。

　さらに、クラウド上で稼働するデータベースの43％が暗号化されておらず、ログ記録が無効化されているクラウドストレージサービスが60％を占めていることも分かった。パロアルトは、データの暗号化は、攻撃者に情報を読み取られることを防ぐだけでなく、HIPAA（Health Insurance Portability and Accountability Act）などのコンプライアンス基準の要求事項でもあると指摘するが、今回の調査でこれが十分に満たされていないことが明らかになった。ストレージサービスのログについては、クラウドでセキュリティ被害を受けたときに、その全容を解明する際に重要だとしている。

クラウドを使った「仮想通貨の不正採掘」

　一方、仮想通貨の不正採掘にクラウドが利用されていることも今回の調査で分かった。Rockeや8220 Mining Group、Pachaといった中国と関係があるとみられる犯罪グループは、仮想通貨を採掘するためにクラウドリソースを搾取しているという。パロアルトは、犯罪グループが公的または独自の仕組み（マイニングプール）で、仮想通貨モネロ（Monero）を採掘していると推測している。

　Palo Alto Networksのパブリッククラウド担当最高セキュリティ責任者を務めるMatthew Chiodi氏は、「本来IaCは、ソフトウェア開発プロセスの早期段階でセキュリティを取り入れられたり、クラウドのインフラ構成にセキュリティを組み込めたりなど、セキュリティチームに多くの恩恵をもたらす。だが、たった1つ設定のミスによって、クラウド環境全体が危険にさらされる。当社は、危険になりうる設定ミスを19万9000件発見した」と述べている。