Azure で発見された 6 つの「悪夢」のクラウド セキュリティ脆弱性に対する Microsoft の対応

多くのセキュリティ研究者は、テナント間の脆弱性は顧客が認識しておく必要のある新しいタイプのリスクであり、クラウドでは発生してはならないリスクであることに同意しています。

Azure は過去 1 年間で最も多くのセキュリティ侵害の標的となり、最も深刻なものとなりました。史上最大規模のハッキング事件の一つが昨年の夏に発生しましたが、ほとんど注目されませんでした。

2021年8月、ハッカーがMicrosoftのAzureパブリッククラウドプラットフォーム上で広く使用されているデータベースサービスに侵入しました。彼らは、いくつかのフォーチュン 500 企業のものも含め、何千もの顧客環境またはテナントのデータベースにアクセスできると主張しています。これが可能なのは、クラウド コンピューティング サービスが共有インフラストラクチャ上で実行されるためです。その結果、一部のクラウド コンピューティング プロバイダーが対処したと思っていた共通のリスクが明らかになることがあります。

昨年の夏にこの事件について聞いたことがないのは、おそらく、Microsoft の Cosmos DB サービスに侵入したハッカーがサイバー犯罪者ではなかったためでしょう。彼らはクラウド セキュリティ スタートアップ企業 Wiz の研究者です。研究者らはこの脆弱性に「ChaosDB」という覚えやすい名前を付け、マイクロソフトに報告した。実際の攻撃者が攻撃する前に「クロステナント」問題が修正され、危機は回避されました。

しかし、この驚くべき発見により、Wiz や他のベンダーの研究者たちは、この新しい種類のテナント間脆弱性が実際にどれほど一般的なのか疑問に思っている。その結果、1 か月後に Azure サービスで別の恐ろしい脆弱性が発見され、その後 3 番目の脆弱性が発見されました。その後、さらに 3 つの脆弱性が発見され、数か月以内に Azure で見つかった重大な脆弱性は合計 6 つになりました。

ChaosDB の脆弱性を含め、重大な脆弱性のうち 5 つは、多数のさまざまなクラウド コンピューティング環境またはテナントに危険をもたらす可能性があることを示しました。 Wiz の研究ディレクター、Shir Tamari 氏は、ChaosDB のようなテナント間の脆弱性は「クラウド サービス プロバイダーで見つかる脆弱性の中で最も深刻なもの」だと述べています。

Tamari 氏は、Wiz の研究チームはこの種の脆弱性を探していたわけではなく、偶然 ChaosDB を見つけただけだと指摘しました。この発見により、研究者たちはこの問題がパブリッククラウドでも発生する可能性があることが明らかになったと彼は述べた。

セキュリティ研究者らは、AWS に 2 つの重大な脆弱性があることも発見しました。しかし研究者らは、過去 1 年間に発見された最も深刻な脆弱性のほとんどは Azure で発見されたと述べています。一部のセキュリティ研究者や業界アナリストは、一連の問題により、Microsoft の Azure サービス保護に対するアプローチに疑問が生じていると述べています。

「これは憂慮すべきことだ」と、独立系セキュリティ調査会社セキュロシスのCEOで長年セキュリティ業界アナリストを務めているリッチ・モグル氏は語った。 「これはパターンです。ですから、問題は、彼らがより厳しく監視されているからだと信じるか、それともより多くの問題を抱えているからだと信じるか、ということです。おそらく、その両方でしょう。」

クラウド セキュリティ プロバイダーの Orca Security の研究者が、Azure サービスに 2 つのテナント間脆弱性を発見しました。これらの問題は、Azure が AWS や Google Cloud と同じレベルの研究者からの圧力に耐えられないことを強く示唆していると、Orca の最高技術責任者 Yoav Alon 氏は述べています。

「現時点では、クラウドに関しては、他のベンダーに比べてセキュリティ面で少し遅れているのではないかと思う」とアロン氏は語った。

マイクロソフトは業界メディアの報道についてはコメントしなかった。

「セキュリティはAzureの基盤です」と同社は声明で述べた。 「お客様は、物理的なデータセンター、インフラストラクチャ、運用にわたる多層セキュリティを Microsoft に信頼していただいており、サイバーセキュリティの専門家が積極的に監視してお客様のデータを保護しています。当社は、バグ報奨金を通じて研究者と社内外の連携を継続的に図り、セキュリティの問題を発見して修正するとともに、更新情報やガイダンスを積極的に共有しています。」

他の研究者やアナリストは、今回の調査結果がAWSやGoogle Cloudと比較して、MicrosoftのAzureサービスのセキュリティ確保への取り組みに弱点があることを示しているとは思わないと述べた。

独立系情報セキュリティコンサルタントのケビン・ビーバー氏は、実際のところクラウドコンピューティングのインフラストラクチャは非常に複雑であり、このようなセキュリティ問題は避けられないと述べています。 「恐れる必要はないと思う」とビーバー氏は語った。

新たな種類の脆弱性

しかし、多くのセキュリティ専門家は、これらの問題は、クラウド コンピューティングのリスクに関する顧客がほとんど考慮していなかった新しいタイプの脆弱性を示していると認めています。結局のところ、これらのリスクが発見される前は、セキュリティ研究者でさえ、クラウド プラットフォームにおけるテナントの分離が問題であるとは考えていなかったのです。

「クラウドプロバイダーを利用すればすべて解決すると思い込んでいる人が多いのは間違いないと思うが、そうではないと知って少し驚くかもしれない」と、バグ報奨金プラットフォームBugcrowdの創設者兼CTO、ケイシー・エリス氏は語る。 「これは、クラウド セキュリティに関する人々の基本的な前提に反するものです。その前提が機能しているのであれば、その前提を再検討する必要があるかもしれません。」

IDC のセキュリティおよび信頼担当プログラム副社長であるフランク・ディクソン氏は、パブリック クラウド プロバイダーは基本的に非常に安全であり、オンプレミスのデータ センター環境よりもはるかに安全であると考えていると述べています。

「これは新たな種類の脆弱性を示しているか？その通りだ」とディクソン氏は語った。

1、2年前と比べて、COVID-19パンデミックにより企業のクラウドコンピューティングへの移行が加速し、AWS、Azure、Google Cloudに大きく依存する顧客が増えています。セキュリティ専門家は、これにより、テナント間の脆弱性が悪用された場合の潜在的な影響が拡大すると指摘しました。

「多くの人はAWS、マイクロソフト、グーグルを信頼しており、自社のインフラに大きな脆弱性がないことを保証できると考えている」と、元米情報機関の侵入テスト担当者で、現在はサイバーセキュリティサービスプロバイダーのディープウォッチの創設者兼副社長であるパトリック・オルジェホフスキー氏は語った。

調査会社シナジー・リサーチ・グループが発表した調査レポートによると、クラウド・コンピューティング・インフラ・サービスへの世界的支出は今年第1四半期に530億ドル近くに急増し、前年同期比34%増加した。 Azure クラウド プラットフォームは四半期中に 22% の市場シェアを獲得し、Amazon の 33% の市場シェアには遅れをとりましたが、Google Cloud の 10% の市場シェアよりは依然として大きく上回っています。

クラウドプラットフォームへの攻撃

2019 年半ば、Capital One の AWS クラウド環境に対するサイバー攻撃により、1 億 600 万人の顧客データが公開されました。米国最大手の銀行の1つで発生したこの侵害は、クラウド セキュリティ コミュニティにとって警鐘となり、サイバー攻撃者がパブリック クラウドを標的にした場合に何が起きるかを示しました。

しかし、状況は悪かったものの、侵害の影響を受けたのは 1 社のみでした。クラウド コンピューティングのアーキテクチャにより、各企業のデータは分離され、他の企業からは見えなくなります。ある顧客の環境を侵害したサイバー攻撃者は、残りの顧客の環境にアクセスすることはできません。

顧客は通常、AWS、Microsoft、Google などのクラウド コンピューティング プロバイダーを信頼しています。

あるいは少なくともそうすべきではないと考える。昨年8月以降に発見された一連のパブリッククラウドの脆弱性は、前例のない規模の攻撃が起こる可能性があることを示唆している。研究者らによると、このような攻撃が成功すれば、キャピタル・ワンの侵害の100倍から1,000倍の深刻さになる可能性があるという。

サイバーセキュリティの専門家の中には、ありがたいことに、これまでそのようなことは起きていないと言う人もいます。しかし、それはまた、セキュリティコミュニティにおいてさえも、この問題が十分な注目を集めていないことを意味します。

「何か悲惨なことが起これば、より注目されるだろう。我々はそうした悲惨な状況が起きないように努めている」とアロン氏は語った。

同様の理由で恐ろしいソフトウェア サプライ チェーン攻撃との類似点が挙げられます。2020 年の SolarWinds サイバー攻撃のように、単一のアプリケーションが侵害されると、多くのエンド カスタマーに損失や影響が生じる可能性があります。パブリッククラウドではSolarWindsのような攻撃は発生していないが、研究者らは、サイバー攻撃者が最近の脆弱性の1つを先に発見していれば状況は違っていたかもしれないと述べている。

懸念される「重要な」問題

クラウドセキュリティの専門家スコット・パイパー氏は、セキュリティ研究者らが2021年8月から2022年1月の間に主要なクラウドサービスプラットフォームで合計8件の「重大な」脆弱性を発見したと述べ、GitHubで問題の長いリストをまとめた。パイパーの集計によると、昨年の夏以降、Azure クラウド プラットフォームで 6 件の重大な脆弱性が発見されているのに対し、Amazon クラウド プラットフォームでは 2 件の重大な脆弱性が発見され、Google クラウド プラットフォームでは 1 件の脆弱性も発見されていない。

パブリック クラウドの脆弱性は通常、Common Vulnerabilities and Exposed Systems から除外されているため、これらの問題のほとんどには正式に重大度評価が割り当てられていません。パイパーは、自社の評価に基づき、これまでに公表された53件のパブリッククラウドの問題の深刻度を「低」から「重大」まで評価した。 Wiz 氏は、Piper 氏の研究がこれらのパブリック クラウドの問題に関する決定的な文書であると指摘しています。

パイパー氏は、研究者やベンダー自身を除けば、最近のパブリッククラウド侵害の急増について誰よりもよく知っているだろう。彼にとって最も印象的なのは、研究者が Azure サービス上でテナント間アクセスを実現する能力を繰り返し実証してきたことです。

対照的に、AWS に影響を与える最近発見された 2 つの重大な脆弱性のおかげです。 「さらに深く掘り下げれば、クロステナント アクセスを実現できるようですが、Azure では実際にそれが証明されました」と Piper 氏は語ります。

ChaosDB に続いて発見される次の重大な Azure の脆弱性は、Azure Container-as-a-Service プラットフォームにおけるクロスアカウント乗っ取りの脆弱性です。これは、Palo Alto Networks の Unit42 グループの研究者によって発見され、「Azurescape」と名付けられました。

「アカウント間の脆弱性は、パブリッククラウドにとって『悪夢』のシナリオとしてよく説明される」と、パロアルトネットワークスの主任セキュリティ研究者であるユヴァル・アヴラハミ氏は昨年9月のブログ投稿に書いている。 「Azurescape は、私たちが思っていた以上にリアルであることを証明しています。」

それ以来、このことを示す証拠は蓄積され続けています。その後数か月で、Azurescape のバグに続いて、Azure サービスにおけるテナント間の脆弱性がさらに 3 つ発生しました。 Orca Security の研究者は、Azure Automation サービスに影響を与える「AutoWarp」と、Azure Synapse 分析サービスに影響を与える「SynLapse」を発見しました。 Wiz の研究者は、PostgreSQL Flexible Server を搭載した Azure データベースに影響があると述べています。

Wiz によって発見された「OMIGOD」と呼ばれるもう 1 つの重大な Azure の脆弱性では、テナント間のアクセスは許可されませんでした。しかし、これは他の脆弱性よりも顧客にとって差し迫った問題でした。このバグは顧客のさまざまな Azure サービスに影響を及ぼし、昨年秋にはサイバー攻撃者によって広く悪用されました。対照的に、最近の Azure の脆弱性が悪用されたかどうかはまだわかっていません。

あなたには仕事が一つだけあります

クラウド顧客のセキュリティ チームがクラウド内のテナント間の脆弱性を防ぐためにできることはほとんどありません。フォレスター社の主席アナリスト、リー・スースター氏は、これらの問題は明らかにどの顧客の能力も超えており、顧客はクラウド・コンピューティング・プロバイダーに頼るしかないと述べた。

すべての主要なパブリック クラウド プラットフォームでは、セキュリティの責任をプロバイダーと顧客の間で分割する何らかの形の「責任共有」モデルが使用されています。このプログラムでは、ベンダーは基盤となるインフラストラクチャを保護することを約束します。お客様は自身のデータとアプリケーションを保護する責任を負います。

Sustar 氏は、テナント間の脆弱性は明らかに共有責任モデルのプロバイダー側​​にあると指摘しました。対照的に、キャピタル・ワンのデータ侵害など過去のクラウド・コンピューティング侵害では、責任は主に顧客側にありました。

ネットワーク セキュリティ サービス プロバイダーの FireMon でクラウド セキュリティ担当シニア バイスプレジデントを務める Mogull 氏は、テナントの分離を確保することは、クラウド コンピューティング サービス プロバイダーのセキュリティ責任の中でも重要な位置を占めていると述べています。 「『仕事は1つだけ』のようなもので、どのクラウドプロバイダーにもこれより大きなリスクや懸念はありません」と同氏は語った。

それでも、クラウド プラットフォームはセキュリティに関しては完璧ではありませんが、多くの場合、データ センターを使用するよりも安全です。 「私はクラウドコンピューティングを強く信じている」とモグル氏は語った。 「誰もができる限りすべてをクラウドに移行すべきだと思います。」

ルトワック氏は、Wiz にとって脆弱性調査の目標は、パブリック クラウドに分離の問題が存在することを顧客に理解してもらうことだけだと述べました。ルトワック氏は、2020年にクラウドセキュリティのスタートアップ企業を共同設立する前は、マイクロソフト・イスラエルの研究開発部門の最高技術責任者を務めていた。

「それは、過去には十分ではないと思われていたことだ」と彼は語った。 「クラウド プロバイダーのユーザーとして、私たちはプロバイダーに次のような質問をする必要があります。『分離モデルとは何ですか? 分離をどのように確保しますか?』」

顧客データの分離は安全なクラウドコンピューティングの「絶対的な中核原則」であるため、業界ではクラウドプロバイダーが使用する分離アーキテクチャに関する文書化の必要性にようやく気づき始めたと、JupiterOne のフィールドセキュリティディレクター、ジャスミン・ヘンリー氏は述べた。ヘンリー氏は、クラウドプロバイダーは、多額の費用をかけたり、さらなるセキュリティリスクを生じさせたりすることなく、分離を証明する方法を見つけなければならないと述べた。

彼女は言った。 「業界として、これらは私たちが学んでいることだと思っています。」

視点の問題

ルトワック氏は、Azure で発見された一連のテナント間脆弱性は、むしろ良いこととみなせるかもしれないと述べた。同氏は、マイクロソフトはこうした研究を奨励しており、Azureの脆弱性を発見した人には最大6万ドルの報奨金を用意していると述べた。

「脆弱性があるという事実は、プラットフォーム全体が安全でないことを意味するわけではない」とルトワック氏は述べた。 「Azure が他の製品よりも安全であると主張するのは不可能だと思います。良い質問ですが、それを断言できるデータを持っている人はいないと思います。」

2001年にコンサルティング会社プリンシプル・ロジックを設立したビーバー氏は、Azureの脆弱性はマイクロソフトが不運にもセキュリティ研究の標的になっただけの問題のように思われると述べた。

「こうしたことは、どんな企業でもいつでも起こり得る」と彼は語った。

マイクロソフトは声明の中で、セキュリティチームが潜在的なセキュリティ問題を特定し、軽減するために24時間体制で取り組んでいると述べた。また、脆弱性の協調的な開示を通じてセキュリティ研究コミュニティと協力し、潜在的なセキュリティ問題が公開される前に発見して軽減できるようにしています。

それでも、Wiz の研究チームと Orca Security のパブリック クラウド脆弱性研究チームはどちらも、AWS、Azure、Google Cloud で問題を見つけるために同様の時間を費やしており、Azure には主に深刻なテナント間脆弱性が存在すると述べています。

もちろん、Microsoft Azure サービスの設計上の考慮事項からセキュリティが除外されていたことに異論を唱える人はいないでしょう。しかし、クラウド コンピューティング セキュリティの専門家数名は、現在の脆弱性調査に基づくと、ユーザーがテナント分離を回避できる使用シナリオがいくつか見逃されているようだと述べています。

認証と承認の問題は、多くの重大な Azure の脆弱性の対象となっています。 「システムへの信頼が過剰になっている」と、脅威調査サービス「インビジブル・スレット」のオーナー兼主任研究員、スコット・ウォルシュ氏は言う。

ウォルシュ氏は、重大な ChaosDB の脆弱性の場合、マイクロソフトは認証の最初のステップをチェックしているものの、その後は信頼を前提としているようで、これにより、攻撃者は認証の初期段階の後に他のテナントにアクセスできるようになると述べた。

「基本的に、このクラウドインスタンスに十分な信頼が寄せられれば、そのインスタンス内のすべてのものに十分な信頼が寄せられることになるようだ」と同氏は語った。 「マルチテナント共有環境では、それだけでは不十分です。」

Wiz の研究者は、CosmosDB サービスにおける一連の誤った構成を悪用することで、ネットワークへの無制限のアクセスを取得し、データベース サービスの管理に使用できる多数の「秘密」(秘密鍵と証明書) を入手できたと報告しています。

Orca Security によると、SynLapse の場合はそうではないそうです。 Orca Securityの研究者らは1月にAzure Synapseサービスの脆弱性を初めて発見したが、Microsoftが3月にパッチを展開した後、4月にはテナント分離の問題を回避することができたと、共同創設者兼CEOのAvi Shua氏は5月9日のブログ投稿で述べた。

「このアーキテクチャには潜在的な弱点があり、より強力なテナント分離メカニズムを通じて対処する必要があると考えています」とシュア氏は投稿で述べた。

影響を受けない顧客

クラウド戦略および移行サービスを提供し、最高の Azure Expert MSP 認定を保持している Navisite の CEO、マーク・クレイマン氏は、これまでのところ、クロステナント Azure 脆弱性の発見は顧客の間で大きな懸念を引き起こしていないと述べています。クレイマン氏は、少なくとも今回の発見が比較的新しいことと、これまでテナント間の侵害が発生していないことから、顧客は Azure の導入をためらうことはないと述べた。

もうひとつの要因としては、「より技術に精通した」顧客がAWSやGoogle Cloudに重点を置く可能性が高いということが考えられる、と同氏は述べた。 「より伝統的で保守的な企業が Azure に惹かれる傾向があると感じています」と Clayman 氏は言います。

IDCのディクソン氏は、最近話をした顧客もAzureの重大な脆弱性について何の懸念も表明していないと述べた。そのため、この問題に関してマイクロソフトに対する顧客からの圧力はほとんどないようです。

それでも、フォレスター社のスースター氏は、顧客はこれまでクロステナント問題を「低レベルのリスク」と見なしていたかもしれないが、最近の調査結果を踏まえてそれを再評価するかもしれないと述べた。

OrcaSecurity の Alon 氏は、Microsoft が現在生み出している金額と、同社が行っているセキュリティへの取り組みの種類との間に矛盾があるようだ、と述べた。

「数十億ドルの収益を生み出し、セキュリティを約束しながらも、その実現が不十分なプラットフォームがあれば、その資金の一部をセキュリティの向上に充てることができるだろう」と同氏は語った。 「マイクロソフトは世界最大の企業の一つです。もし彼らがそれを選択し、最優先事項にすれば、素晴らしい成果を上げることができるでしょう。」

ウォルシュ氏は、潜在的な問題に対処するには、まずこれらの Azure サービス内の境界をより適切に処理する必要があるかもしれないと述べました。 Microsoft は、よりクラウド ネイティブなスタイルの ID およびアクセス管理を実現するために、時間の経過とともにサービス アーキテクチャをゆっくりと反復的に変更することを望む可能性があります。

「まだしばらくは難しい状況が続くだろう」と彼は語った。

トラステッドコンピューティング 2.0?

アロン氏は、マイクロソフトが Azure サービスの脆弱性をめぐる状況を改善できると確信していると述べた。同氏は、マイクロソフトには、2002年の有名な「信頼できるコンピューティング」メモに遡る、セキュリティ改善の強力な実績があると指摘した。マイクロソフトの従業員に宛てた社内メモの中で、ビル・ゲイツ氏はマイクロソフト製品のセキュリティをより優先することを約束し、それが長年にわたるセキュリティ改善の大きな進歩につながった。

マイクロソフトは現在、クラウドセキュリティに関しても同様の局面に近づいているかもしれないとアロン氏は述べた。同氏は、同社が将来のAzureのセキュリティ問題を防ぐためにすでに社内で変更を加えているのではないかと疑っていると付け加えた。

「しかし、変化には時間がかかります」とアロン氏は言う。 「今後数か月、数年のうちにさらなる変化が見られるだろう。」

モグル氏は、マイクロソフトが近年、数々の非常に積極的な取り組みを通じてサイバーセキュリティへの取り組みを示してきたことも励みになると述べた。

たとえば、マイクロソフトは近年、「世界中の国家によるボットネット」と戦う取り組みで称賛に値する。マイクロソフトは4月、サイバー犯罪者がランサムウェアなどの攻撃を実行するために使用する感染したコンピューターのネットワークであるZLoaderボットネットの排除における自社の役割を明らかにした。

全体的に、優れた安全性を提供しているとモグル氏は語った。しかし、Azure のセキュリティに関しては、「私はただ、それがより良くなることを望んでいます。そして、Microsoft ならそれができると思います」と同氏は語った。