クラウドセキュリティの穴を塞ぐ–一般的な攻撃手法と防衛手段

今回は「クラウドセキュリティの穴を塞ぐ–一般的な攻撃手法と防衛手段」についてご紹介します。

関連ワード (クラウドをセキュアに、特集・解説等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 クラウドのアプリケーションやサービスを利用すれば、ビジネスツール、情報、ソフトウェアにどこからでもアクセスでき、従業員はオフィス勤務でも、リモートワークでも、ハイブリッドワークでも生産性を発揮することができる。勤務場所は重要ではない。必要なものはすべて「クラウド」にある。

 しかし、クラウドコンピューティングの使用とリモートワークへの移行から恩恵を受けているのは、従業員と企業だけではない。そうした変化は、サイバー犯罪者や悪意あるハッカーにとっても有益であることが明らかになっており、クレジットカード情報やパスワード、秘密の知的財産などの機密データを不注意なクラウドユーザーから盗む新たな機会を与えている。

 悪意あるハッカーは、ネットワークに侵入してこの情報にアクセスする方法を見つけ出してきた。よく用いられたのは、フィッシング攻撃や、トロイの木馬型マルウェアをひそかに仕込む戦術だ。それらの手口は、企業ネットワークへのアクセスを試みるサイバー犯罪者が今でもよく使用している。クラウドコンピューティングは、こうした古い攻撃の新たな標的を生み出す可能性がある。

 調査によると、半数以上の企業はクラウドアカウントのパスワードセキュリティが不十分で、14文字未満の脆弱なパスワードを許可しており、クラウドアカウントの44%は、別のアカウントにリンクされたパスワードの使い回しを認めているという。

 クラウドアカウントの脆弱なパスワードは、攻撃者の格好の標的だ。攻撃者は、インターネットに面したログインポータルを持つアプリケーションを探して、自動化された総当たり攻撃を仕掛け、単純なパスワードやよく使われるパスワードを順番に試していき、アカウントを侵害しようとする。脆弱なパスワードは、これらの手口で突破されやすい。

 個人の電子メールアドレス、オンラインショッピング、ストリーミングサービスなど、ユーザーの他のアカウントの流出パスワードを入手したサイバー犯罪者が、企業のクラウドアカウントで使えないか試す可能性もある。パスワードの使い回しは今なお一般的に行われているため、この手口によって、サイバー犯罪者にクラウドアプリケーションスイートやその他のエンタープライズサービスへアクセスされてしまうかもしれない。

 サイバー犯罪者は正当なユーザー名とパスワードを使って、何らかの形でリモートワークをしている可能性が高いユーザーの正当なアカウントにアクセスしているため、サービスへのアクセスが不審に思われる可能性は低い。

 たとえば、犯罪者は正当なアカウントへのアクセスを使用して、ユーザーの電子メールを乗っ取り、機密情報の窃取、マルウェアやランサムウェアのインストールを目的として、悪意あるリンクを連絡先に送信することが考えられる。そのリンクは自分が信頼する知人から届いたものなので、標的は疑いを持たないかもしれない。

 だが、サイバー攻撃を仕掛けるために、仲介者をだます必要さえない場合もある。調査では、クラウドユーザー、サービス、リソースの99%が過剰な権限を提供していることが示されている。これらの権限(管理者権限など)は、ほとんどの場合、特に普通のユーザーには全く必要のないものだ。

 しかし、クラウドサービスの設定に不備があり、管理者権限を付与すべきでないユーザーに付与している場合、ハッカーは単純なパスワードを足がかりとして、クラウド環境のリソースの改ざん、作成、削除ができるほか、そうしたパスワードを利用してネットワーク内を移動し、攻撃の範囲を拡大することができる。また、攻撃者が自身の作成したアカウントを隠ぺいすれば、標的となった組織は全く気づかないだろう。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
アマゾンのオーバーザトップ事業IMDb TVやTwitchなどが好調、総視聴者数1億2000万を突破
ネットサービス
2021-05-05 03:36
NEC、新型メインフレーム「AKATSUKI」を発表–DX貢献を強調
IT関連
2022-07-01 21:23
DeNA、勤務時間内の新型コロナワクチン接種を可能に–副反応時には特別休暇を付与
IT関連
2021-05-26 10:23
かぶるマスク、サンコーが発売 室内の花粉対策に
くらテク
2021-01-26 21:47
日本ユニシス、ポスト5G情報通信システムの基盤を強化する事業へ参画
IT関連
2021-08-04 04:26
新たな1歩を踏み出すロボティクススタートアップたち
ロボティクス
2021-03-13 18:14
IEサポート終了、企業はどんな対応が必要? IPAが対策例を公開
ネットトピック
2021-08-19 13:35
7万人以上のITエンジニアの調査結果、好きな言語は「Rust」、DBは「PostgreSQL」、開発環境はVSCodeを抑えて「Neovim」がトップに。Stack Overflow 2022 Developer Survey
JavaScript
2022-07-04 20:45
大和証券、経費精算・管理SaaSを採用–業務の抜本的改革を狙う
IT関連
2022-02-19 19:10
データサイエンスで評価されるオープンソース「Jupyter」プロジェクトの起源
IT関連
2021-05-09 13:56
千鳥饅頭総本舗、人事労務SaaSを導入–会社全体の業務改革に活用
IT関連
2021-07-03 06:51
Spotifyがポッドキャスト発見プラットフォーム「Podz」を買収
ネットサービス
2021-06-19 14:42
完全にデザインし直されたM1 iMacは家の中にどう溶け込むか
くわしく
2021-04-27 01:44
「全人類上司化計画」を唱えるウイングアーク1stの田中社長の思い
IT関連
2021-04-28 01:20