設定ミスの社外秘情報はググれます――サイバー攻撃者はどうやってクラウドを墜とすのか?:ITmedia Security Week 2024 冬
2024年2月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」における「クラウドセキュリティ」ゾーンで、多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏が「攻撃者はいかにしてクラウドを堕(お)とすのか 今知るべき攻撃のトレンド」と題した講演に登壇した。以前はランサムウェアをテーマとして、世界情勢に合わせて講演したが、今回は“クラウド”の現状を、西尾氏の視点で語るセッションとなった。
クラウドの事故は設定ミスが多い、しかしそれだけではない
クラウドに関するインシデントの多くは、設定ミスによって公開してはならない情報が、インターネットから見えてしまう事故に起因している。これはパブリッククラウド特有の問題だが、西尾氏は「よく『特殊な方法やツールで調べているんでしょう?』と誤解される。まずはここから紹介したい」と述べ、「Google Dorks」という手法を紹介する。
Google Dorksは特別なツールではなく、多くの人が利用する検索エンジンとしての「Google」に、検索演算子を追加して検索結果を絞り込む手法だ。例えば特定のドメインを指定する「site:」に加え、拡張子を指定する「ext:」を組み合わせることで、日本政府を表す「*.go.jp」で公開されている、「PDFファイル」を検索することが可能だ。これを活用することで、日本の企業が公開サーバ上で公開している、データベースをダンプしたものとおぼしき「sqlファイル」の一覧を取り出したり、「Amazon S3」上で公開されている「社外秘」を含むファイルの一覧を取り出したりすることができてしまう。
想像を超える量の、おそらくは見えてはいけないものが、誰もが使うGoogle検索エンジンで到達できてしまうことについて「雑な検索条件でも、開いてはならないような問題のある情報が転がっていることが分かる。一応、付け加えておくが、検索した結果をGoogleドメインにある一覧で確認する分には問題ないが、リンク先の情報を確認するのは法律的に問題があるので注意してほしい」と西尾氏は指摘する。
これは一般的なテキストだけでなく、GitHubなどに対しても応用が利く。GitHubにホスティングされているファイルに対してRSA鍵を検索することもでき、秘密にしていると思っていたトークンや鍵が外部から見えている状態にある。
関連記事
「ゼロトラスト」でなければランサムウェアギャングと戦えない理由――いま企業はハイブリッド戦争の前哨戦の渦中にある
2023年6月、ITmedia Security Week 2023 夏で、多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏が「ゼロトラスト。バズワードと化した最重要課題を今一度紐解く。」と題して講演した。
「クラウド責任共有モデル」の知識、アップデートできてる?
何かと小難しいパブリッククラウドのセキュリティを、やさしく解説する新連載。第1回は、クラウドの責任共有モデルについて、あらためて考えます。分かった気になりがちですが、実は奥が深いんです。
クラウド環境を守るためのセキュリティとは? 「CSPM」「CWPP」「CIEM」「CNAPP」は何がどう違う?
クラウドセキュリティに対する不安からクラウド移行に踏み切れない企業や、クラウド移行したもののクラウドセキュリティに依然として懸念がある企業に向けて、クラウドで実現するセキュリティ対策を事例とともに解説する本連載。初回は、クラウド環境を巡る脅威やキーワードを整理します。
Copyright © ITmedia, Inc. All Rights Reserved.