Microsoft は、Azure Blob Storage サービスを標的としたサイバー攻撃の波がエスカレートしていることについて企業顧客に警告しています。
10 月 20 日に公開された詳細な勧告の中で、同社の脅威インテリジェンス チームは、脅威アクターが一般的な構成ミス、脆弱な認証情報、不十分なアクセス制御をどのように積極的に悪用して企業の機密データを盗んでいるかについて概説しました。
アラートでは、最初の偵察から本格的なデータの引き出しと破壊に至るまで、高度な攻撃チェーンについて詳しく説明しています。 Microsoft は、AI と分析のための大規模なデータ ワークロードの管理において Blob Storage が果たす重要な役割を引き合いに出し、増大するリスクを軽減するためにより強力なセキュリティ プロトコルを実装するよう管理者に促しています。
高価値ターゲットが悪用の機が熟した
Azure Blob Storage は、最新のクラウド インフラストラクチャの基礎となっており、使用されています。
その柔軟性により、AI トレーニング モデルの保存、ハイ パフォーマンス コンピューティング (HPC) のサポート、大規模分析の実行、メディアのホスティング、エンタープライズ バックアップの管理など、さまざまな重要な機能に不可欠です。
残念ながら、この中心的な役割により、サイバー犯罪者の主な標的にもなります。
Microsoft の脅威インテリジェンス チームは、このサービスの戦略的価値を攻撃者に説明しました。 「Blob Storage は、他のオブジェクト データ サービスと同様、さまざまなワークロードにわたって大規模な大量の非構造化データを保存および管理する上で重要な役割を果たしているため、脅威攻撃者にとって価値の高い標的です。」
チームはさらに、脅威攻撃者は単に日和見主義であるだけでなく、脆弱な環境を組織的に探索していると指摘しました。彼らは、ダウンロード可能なコンテンツをホストするシステム、または大規模なデータ リポジトリとして機能するシステムを侵害しようとしています。これにより、Blob Storage がさまざまな攻撃の多用途ベクトルとなります。
クラウド攻撃チェーンの解体
最初の調査から大規模なデータ侵害に至るまでのパスは、明確に定義されたパターンに従っており、防御者が攻撃者を理解できるように Microsoft がマッピングしました。この攻撃は単一のイベントではなく、データが盗まれるずっと前から始まる多段階のプロセスです。
攻撃者は多くの場合、自動ツールを使用して、パブリックにアクセス可能なエンドポイントまたは予測可能な名前を持つストレージ アカウントをスキャンする広範な偵察から開始します。また、言語モデルを使用して、より効果的な総当たり攻撃を行うための妥当なコンテナ名を生成することもあります。
潜在的なターゲットが特定されると、公開されたストレージ アカウント キーや共有されたストレージ アカウント キーなどの一般的な弱点を調査します。 アクセス署名 (SAS) トークンはパブリック コード リポジトリで発見されます。
最初のアクセスを取得した後、焦点は永続性の確立に移ります。攻撃者は、昇格された特権を持つ新しいロールを作成したり、バックドアとして機能する有効期間の長い SAS トークンを生成したり、匿名アクセスを許可するためにコンテナー レベルのアクセス ポリシーを操作したりする可能性があります。
攻撃者はそこから水平方向に移動し、Azure Functions や Logic Apps などのダウンストリーム サービスをトリガーして特権をさらに昇格させる可能性があります。最終段階では、データの破損、削除、または大規模な流出が発生する可能性があり、多くの場合、AzCopy などの信頼できる Azure ネイティブ ツールを使用してブレンドします。
このような構成ミスによる実際の影響は、壊滅的なものになる可能性があります。過去の注目すべきインシデントでは、人材採用ソフトウェア会社が Azure Blob Storage コンテナを不適切に保護した状態で放置した際に、履歴書を含む 2,600 万近くのファイルが誤って流出してしまいました。この事件は、 .
この種の侵害は、Microsoft が現在提唱しているセキュリティ体制の極めて重要性を示しています。
Microsoft の防御の青写真: ツールとベスト プラクティス
これらのエスカレートする脅威に対抗するために、同社はプロアクティブな監視とセキュリティの順守を中心とした多層防御戦略を強調しました。
この戦略の重要なコンポーネントは、追加のセキュリティ インテリジェンス層を提供するように設計されたクラウドネイティブ ソリューションである Microsoft Defender for Storage です。
Microsoft によると、「Defender for Storage は、ストレージ アカウントへのアクセスまたは悪用に対する、異常で潜在的に有害な試みを検出する追加のセキュリティ インテリジェンス層を提供します。」
Defender for Storage は、マルウェア スキャンなどの複数の層の保護を提供します。 公式ドキュメントによると、2 つの主要モードで構成されます。
アップロード時のスキャンでは、新しいファイルまたは変更されたファイルをほぼリアルタイムで分析し、ファイルがファイルに侵入するときに脅威がないか自動的にチェックします。
より強力でプロアクティブなセキュリティを実現するために、管理者はオンデマンド スキャンを使用して既存のデータをスキャンできます。これは、インシデント対応とデータ パイプラインの保護に不可欠です。
マルウェアが検出されると、自動修復がトリガーされて悪意のある BLOB を隔離または論理的に削除し、アクセスをブロックして脅威を軽減できます。
同社は、特定のツールを導入するだけでなく、すべての企業顧客向けにいくつかの重要なベスト プラクティスについて概説しました。まず、組織は、Azure のロールベースのアクセス制御 (RBAC) を使用して、最小特権の原則を厳密に適用する必要があります。
これにより、アカウントが侵害された場合に、攻撃者の損害を引き起こす能力が大幅に制限されます。ユーザーとサービスに必要な権限のみを付与することは、攻撃対象領域を減らすための基本的な手順です。
第 2 に、管理者は無制限で有効期間の長い SAS トークンの使用を避ける必要があります。これらのトークンは、侵害された場合に、他の ID ベースの制御を回避して永続的なバックドアを提供する可能性があります。
包括的なログ記録と監査の実装も、インシデントを迅速に検出して対応するために重要です。
最後に、Microsoft は、ストレージ アカウントへのパブリック ネットワーク アクセスを可能な限り制限し、転送中のデータを保護するために安全な転送要件を強制することを強く推奨します。
これらを強化することで、 基本的な制御と継続的な警戒を維持することで、組織はリスクを大幅に軽減し、重要なクラウド データを侵害からより適切に保護できます。
