企業は依然としてクラウド環境にセキュリティリスクを持ち込んでいる

組織がクラウドを選択する最大の理由の 1 つはセキュリティですが、クラウド セキュリティによって新たなセキュリティ問題も生じます。同時に、企業のセキュリティ意識の限界により、いくつかの古いセキュリティ問題もクラウド環境に持ち込まれることになります。

クラウド コンピューティングとそのさまざまな形式 (プライベート、パブリック、ハイブリッド、またはマルチクラウド環境) は、過去 10 年間の革新と成長により広く普及しましたが、サイバー犯罪者は移行を綿密に追跡し、これらのプラットフォームを悪用するための独自の革新を導入しました。これらの攻撃のほとんどは、不適切な構成と人為的ミスに基づいています。 IBM Security X-Force の新しいデータによると、クラウドを導入している多くの企業が基本的なセキュリティのベストプラクティスに遅れをとっており、組織がリスクの増大にさらされていることがわかりました。

IBM の 2022 X-Force クラウド脅威ランドスケープ レポートでは、サイバー犯罪者がクラウド環境を侵害するために使用する「侵入」が明らかにされ、実証済みの感染方法である脆弱性の悪用が、依然としてクラウド侵害を達成する最も一般的な方法であることが明らかにされています。 2021 年 7 月から 2022 年 6 月までの X-Force 脅威インテリジェンス データ、数百の X-Force Red 侵入テスト、X-Force インシデント レスポンス (IR) エンゲージメント、レポート寄稿者の Intezer から提供されたデータから得られた洞察を基に、レポートから導き出された主なハイライトは次のとおりです。

• クラウドの脆弱性が増加中– 過去 6 年間で新たなクラウドの脆弱性が 6 倍に増加しており、X-Force が対応したクラウド侵害の 26% は、パッチが適用されていない脆弱性を攻撃者が悪用したことによるものであり、これが最も多く確認された侵入ポイントとなっています。  
• アクセスが増えると問題も増える– 侵入テストの 99% で、X-Force Red はユーザーの追加の特権と許可を通じてクライアントのクラウド環境を侵害することができました。このタイプのアクセスにより、攻撃者は横方向に移動して被害者の環境内を移動できるようになり、攻撃が発生した場合の影響レベルが増大する可能性があります。
• ダーク ウェブ マーケットプレイスでのクラウド アカウント販売が増加– X-Force は、ダーク ウェブで宣伝されているクラウド アカウントが 200% 増加していることを確認しました。違法マーケットプレイスでは、リモート デスクトップ プロトコルと盗まれた資格情報が、最も人気のあるクラウド アカウント販売となっています。

パッチ未適用のソフトウェア：クラウド攻撃の最大の原因

IoT デバイスの増加によりクラウド環境への接続がますます増加するにつれて、潜在的な攻撃対象領域が拡大し、適切な脆弱性管理など、多くの企業が直面している重要な課題が生じています。一例として、調査対象となったクラウド インシデントの 4 分の 1 以上が、既知の未修正の脆弱性を悪用したことにより発生したことがレポートで明らかになりました。 Log4j の脆弱性と VMware Cloud Director の脆弱性は、X-Force の活動で確認された最も一般的に悪用された脆弱性の 2 つですが、確認された悪用された脆弱性の大部分は、主にアプリケーションのローカル バージョンに影響を与え、クラウド インスタンスには影響を与えませんでした。

予想通り、クラウド関連の脆弱性は着実に増加しており、X-Force は昨年だけでクラウド関連の新たな脆弱性が 28% 増加したことを確認しています。現在までに 3,200 件を超えるクラウド関連の脆弱性が公開されており、企業は、増加する脆弱なソフトウェアを更新してパッチを適用するという要求に応えるために困難な戦いに直面しています。クラウド関連の脆弱性の数が増えるだけでなく、その深刻度も高まっています。これは、攻撃者がより機密性の高い重要なデータにアクセスし、より破壊的な攻撃を実行する機会を与える可能性のある脆弱性の増加からも明らかです。

こうした継続的な課題は、企業が自社の環境をストレステストして、パッチ未適用の悪用可能な脆弱性などの弱点を特定するだけでなく、その重大度に基づいて優先順位を付け、最も効果的なリスク軽減を確実に行う必要があることを示しています。

過剰なクラウド権限は悪意のある行為者の横移動を容易にする

このレポートでは、クラウド環境におけるもう 1 つの懸念すべき傾向も明らかにされました。それは、アクセス制御が不十分で、X-Force Red が実施した侵入テストの 99% が、過剰なユーザー権限と許可により成功しているというものです。企業がネットワーク内のさまざまなアプリケーションへの不必要なレベルのアクセスをユーザーに許可すると、攻撃者が被害者のクラウド環境の奥深くまで侵入するための足がかりを意図せず作ってしまうことになります。

この傾向は、企業がゼロトラスト戦略に移行し、ユーザーの行動を過度に信頼することに伴うリスクをさらに軽減する必要性を強調しています。ゼロトラスト戦略により、企業はポリシーと制御を導入して、アプリケーションやユーザーを問わずネットワークへの接続を審査し、その正当性を繰り返し検証できるようになります。さらに、組織がビジネス モデルを進化させてイノベーションを迅速に実現し、容易に適応するにつれて、ハイブリッド マルチクラウド環境を適切に保護する必要があります。本質的には、アーキテクチャを最新化することです。すべてのデータに同じレベルの制御と監視が必要なわけではないため、適切なワークロードを特定し、適切な理由で適切な場所に配置することが重要です。これにより、企業はデータを効果的に管理できるだけでなく、適切なセキュリティ技術とリソースのサポートにより、データに関する効果的なセキュリティ制御を実装できるようになります。

ダークネット市場ではクラウドアカウントの販売が好まれる

クラウドの台頭により、ダークウェブ上で販売されるクラウド アカウントも増加しており、X-Force は昨年だけで 200% の増加を確認しています。具体的には、X-Force はダーク ウェブ マーケットプレイスで 10 万件を超えるクラウド アカウント広告を発見しましたが、一部のアカウント タイプは他のアカウント タイプよりも人気があります。特定されたクラウド アカウント販売の 76% はリモート デスクトップ プロトコル (RDP) アクセス アカウントであり、前年からわずかに増加しました。侵害されたクラウド認証情報も販売されており、X-Force が分析したマーケットプレイス広告のクラウド アカウントの 19% を占めています。

このようなアクセスの相場は非常に低いため、平均的な入札者でもこれらのアカウントに簡単にアクセスできます。 RDP アクセスと漏洩した資格情報の平均価格は、それぞれ 7.98 ドルと 11.74 ドルでした。侵害された認証情報は、その使いやすさと、宣伝されている認証情報に複数のログイン データ セットが含まれていることが多く、クラウド認証情報とともに盗まれた他のサービスからのものである可能性があるため、サイバー犯罪者にとってより高い ROI を生み出すという理由から、47% 高い価格で販売される可能性が高くなります。

こうした違法なマーケットプレイスでは、悪意のある攻撃者が悪用する可能性のある侵害されたクラウド アカウントがますます増えているため、組織はユーザーにパスワードを定期的に更新するよう促し、多要素認証 (MFA) を実装することで、より厳格なパスワード ポリシーを実施することが重要です。企業は、ID およびアクセス管理ツールを活用して、ユーザー名とパスワードの組み合わせへの依存を減らし、脅威アクターによる資格情報の盗難に対抗する必要もあります。