クラウドを危険にさらすIaCテンプレートが約20万件 パロアルト「クラウド脅威レポート 2020年春」を発表

パロアルトネットワークスが発表した「クラウド脅威レポート 2020年春」によると、脆弱性を含んだクラウドのIaCテンプレートが、19万9000件以上も見つかった。暗号化されていないクラウドデータベースも43%を占めていた。

» 2020年03月09日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 パロアルトネットワークス(以下、パロアルト)は2020年3月6日、「クラウド脅威レポート 2020年春」を発表した。IaC(Infrastructure as Code)テンプレートを利用してクラウドインフラを自動構築する際に適切なセキュリティツールとプロセスが利用されず、さまざまな脆弱(ぜいじゃく)性によってこれらのテンプレートが改ざんされる事例が増えてきている、としている。

画像 クラウド脅威レポート 2020年春(出展:パロアルトネットワークスWebページより引用)

クラウドの設定ミスはテンプレートの利用が原因

 今回のレポートによると、重大度が「中」から「高」程度の脆弱性を含んだクラウドのIaCテンプレートが、19万9000件以上も見つかったという。パロアルトの2019年の調査によると、クラウドに関するインシデントの65%が単純な設定ミスによるものだった。そのため同社は、「今回の調査で見つかったクラウドの設定ミスは、テンプレートの利用が原因だと示唆される」と分析している。

 さらに、クラウド上で稼働するデータベースの43%が暗号化されておらず、ログ記録が無効化されているクラウドストレージサービスが60%を占めていることも分かった。パロアルトは、データの暗号化は、攻撃者に情報を読み取られることを防ぐだけでなく、HIPAA(Health Insurance Portability and Accountability Act)などのコンプライアンス基準の要求事項でもあると指摘するが、今回の調査でこれが十分に満たされていないことが明らかになった。ストレージサービスのログについては、クラウドでセキュリティ被害を受けたときに、その全容を解明する際に重要だとしている。

クラウドを使った「仮想通貨の不正採掘」

 一方、仮想通貨の不正採掘にクラウドが利用されていることも今回の調査で分かった。Rockeや8220 Mining Group、Pachaといった中国と関係があるとみられる犯罪グループは、仮想通貨を採掘するためにクラウドリソースを搾取しているという。パロアルトは、犯罪グループが公的または独自の仕組み(マイニングプール)で、仮想通貨モネロ(Monero)を採掘していると推測している。

 Palo Alto Networksのパブリッククラウド担当最高セキュリティ責任者を務めるMatthew Chiodi氏は、「本来IaCは、ソフトウェア開発プロセスの早期段階でセキュリティを取り入れられたり、クラウドのインフラ構成にセキュリティを組み込めたりなど、セキュリティチームに多くの恩恵をもたらす。だが、たった1つ設定のミスによって、クラウド環境全体が危険にさらされる。当社は、危険になりうる設定ミスを19万9000件発見した」と述べている。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

4AI by @IT - AIを作り、動かし、守り、生かす
Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。