クラウドセキュリティの穴を塞ぐ–一般的な攻撃手法と防衛手段

今回は「クラウドセキュリティの穴を塞ぐ–一般的な攻撃手法と防衛手段」についてご紹介します。

関連ワード （クラウドをセキュアに、特集・解説等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　クラウドのアプリケーションやサービスを利用すれば、ビジネスツール、情報、ソフトウェアにどこからでもアクセスでき、従業員はオフィス勤務でも、リモートワークでも、ハイブリッドワークでも生産性を発揮することができる。勤務場所は重要ではない。必要なものはすべて「クラウド」にある。

　しかし、クラウドコンピューティングの使用とリモートワークへの移行から恩恵を受けているのは、従業員と企業だけではない。そうした変化は、サイバー犯罪者や悪意あるハッカーにとっても有益であることが明らかになっており、クレジットカード情報やパスワード、秘密の知的財産などの機密データを不注意なクラウドユーザーから盗む新たな機会を与えている。

　悪意あるハッカーは、ネットワークに侵入してこの情報にアクセスする方法を見つけ出してきた。よく用いられたのは、フィッシング攻撃や、トロイの木馬型マルウェアをひそかに仕込む戦術だ。それらの手口は、企業ネットワークへのアクセスを試みるサイバー犯罪者が今でもよく使用している。クラウドコンピューティングは、こうした古い攻撃の新たな標的を生み出す可能性がある。

　調査によると、半数以上の企業はクラウドアカウントのパスワードセキュリティが不十分で、14文字未満の脆弱なパスワードを許可しており、クラウドアカウントの44％は、別のアカウントにリンクされたパスワードの使い回しを認めているという。

　クラウドアカウントの脆弱なパスワードは、攻撃者の格好の標的だ。攻撃者は、インターネットに面したログインポータルを持つアプリケーションを探して、自動化された総当たり攻撃を仕掛け、単純なパスワードやよく使われるパスワードを順番に試していき、アカウントを侵害しようとする。脆弱なパスワードは、これらの手口で突破されやすい。

　個人の電子メールアドレス、オンラインショッピング、ストリーミングサービスなど、ユーザーの他のアカウントの流出パスワードを入手したサイバー犯罪者が、企業のクラウドアカウントで使えないか試す可能性もある。パスワードの使い回しは今なお一般的に行われているため、この手口によって、サイバー犯罪者にクラウドアプリケーションスイートやその他のエンタープライズサービスへアクセスされてしまうかもしれない。

　サイバー犯罪者は正当なユーザー名とパスワードを使って、何らかの形でリモートワークをしている可能性が高いユーザーの正当なアカウントにアクセスしているため、サービスへのアクセスが不審に思われる可能性は低い。

　たとえば、犯罪者は正当なアカウントへのアクセスを使用して、ユーザーの電子メールを乗っ取り、機密情報の窃取、マルウェアやランサムウェアのインストールを目的として、悪意あるリンクを連絡先に送信することが考えられる。そのリンクは自分が信頼する知人から届いたものなので、標的は疑いを持たないかもしれない。

　だが、サイバー攻撃を仕掛けるために、仲介者をだます必要さえない場合もある。調査では、クラウドユーザー、サービス、リソースの99％が過剰な権限を提供していることが示されている。これらの権限（管理者権限など）は、ほとんどの場合、特に普通のユーザーには全く必要のないものだ。

　しかし、クラウドサービスの設定に不備があり、管理者権限を付与すべきでないユーザーに付与している場合、ハッカーは単純なパスワードを足がかりとして、クラウド環境のリソースの改ざん、作成、削除ができるほか、そうしたパスワードを利用してネットワーク内を移動し、攻撃の範囲を拡大することができる。また、攻撃者が自身の作成したアカウントを隠ぺいすれば、標的となった組織は全く気づかないだろう。