国産パブリッククラウド「ニフクラ」に不正アクセス、公表されたロードバランサーの脆弱性を悪用
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」5月27日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・ロードバランサーの脆弱性に対して行われる多層防御
・クラウド事業者が安全なサービスを提供していく為には
今回の解説ニュース
クラウド環境で使われているロードバランサーに不正アクセスがあったことについて発表されています。ロードバランサーの不正アクセスに悪用された脆弱性の内容や、クラウド事業者がセキュリティを担保するための取り組みについて説明します。
今回のインシデントは、コントロールパネルやAPIへのアクセス情報や、ロードバランサーを経由する通信情報、ロードバランサー上の顧客証明書データを窃取された可能性があるということです。原因として、装置メーカーから公表されたロードバランサーの脆弱性の悪用と、多層防御の一部設定不備が挙げられています。
対策として、情報を窃取された可能性のある顧客に対し、本件の案内と対処の依頼を実施しています。さらに、本脆弱性を回避するための設定をロードバランサーに実施し、インターネット側のネットワーク機器においてアクセス制御を実施しています。また、緊急対策チームを設置し、さらなる被害状況の調査と対策を進めているということです。
ロードバランサーの脆弱性に対して行われる多層防御
今回のロードバランサーで発見された脆弱性に対する多層防御は、ロードバランサーとは別のシステムでセキュリティ対策が行われていたことが考えられます。理由として、ロードバランサーの脆弱性を修正するために時間がかかることが挙げられます。
例えば、Aさんが料理をしていて、やけどをしてしまったとします。やけどを治すためには、薬を塗って患部を保護することが必要ですが、応急処置として、とりあえずやけどした個所を水で冷やそうとするのではないでしょうか。それは、ケガを治すために必要な対応に時間をかけていると、さらにケガの被害が広がってしまうことが考えられるため、まずはすぐにできる対策が求められます。脆弱性の多層防御でも同じ目的で実施されることがあります。
ロードバランサーとは、大量のアクセスが想定されるシステムに対し、複数のサーバへアクセスを振り分け、不可を分散するためのシステムです。サーバに代わりアクセスをいったん受け付け、あらかじめ設定した基準に従ってアクセスを振り分けます。主にWebアプリケーションなどの公開サービスで使用されているため、ロードバランサー自体はインターネットに公開されていることが多く、脆弱性があった場合は直ちに悪用されてしまう可能性があります。
今回の脆弱性は、ロードバランサーのステータス情報を取得したり、設定を変更したりするための機能に認証回避の脆弱性が存在していました。脆弱性を修正するためには、一般的にロードバランサーのアップデートが必要とされますが、その際にシステムの動作に影響が出ないかテストをするために、一定の時間を要することが考えられます。
そこで、ロードバランサーとは別のセキュリティ対策で、脆弱性を突くアクセス自体をロードバランサーに到着する前に遮断することが考えられます。例えば、ファイアウォールで脆弱性のあるサービスへのアクセスを遮断したり、IPSで脆弱性の攻撃パターンを検知して遮断したりすることが、脆弱性自体の修正に加えて、多層防御として考えることができます。
その他のトピック
クラウド事業者が安全なサービスを提供していく為には
(全文はこちら)