クラウドのロギングサービスは、デジタルインフラにおけるいわば究極の監視カメラです。Amazon Web Services(AWS)のCloudTrailやGoogle Cloud Loggingといったツールは、環境内で実行されるあらゆる操作を完全に可視化します。
これらのログは、運用上の動作やセキュリティイベントの追跡に不可欠であるため、現代の脅威アクターにとって価値の高い標的となっています。
攻撃者はこうしたサービス自体を武器として悪用し、検知を逃れるためのブラインドスポットを作り出したり、データを密かに外部へ持ち出すための隠密なパイプラインを構築したりすることができます。
主要なクラウドプロバイダーはそれぞれ異なる方式でロギングを処理しています。AWSでは「トレイル」がAPI(アプリケーション・プログラミング・インターフェース)の呼び出しを記録し、長期保存のためにS3バケットへ配信します。
Google Cloudでは「シンク」がルーターとして機能し、イベントデータを指定したログバケットへ転送します。このような仕組みは防御側にとって強力なツールである一方、攻撃者が設定情報へのアクセスを得た場合には深刻な脆弱性になり得ます。
攻撃者がこうしたロギングの仕組みを狙う場合、主に二つの目的があります。一つ目は、気づかれずに活動できるよう防御システムを無効化することです。
二つ目は、環境への継続的な監視経路を確立し、ネットワークの全体像を把握しつつデータを窃取するために、ログを密かに自分たちのインフラへコピーし続けることです。クラウドアーキテクチャを保護するためには、こうした手口を正確に理解することが重要です。
侵害されたクラウド環境内で潜伏するために、攻撃者はセキュリティチームが依存している仕組みに手を加えることがよくあります。
セキュリティ情報イベント管理(SIEM)システムやクラウドセキュリティ態勢管理ツールは、アラートをトリガーするために継続的なログデータに全面的に依存しています。
攻撃者がこのデータの供給を断ち切ることで、実質的にアラートシステムが機能を失い、攻撃者が活動できる時間がさらに延びてしまいます。
Palo Alto Networksの調査によると、攻撃者はアラートを発生させることなく対象の環境を監視しようとします。セキュリティツールに検知されやすい大量のディスカバリコマンドを実行するのではなく、ログのルーティングシステムを乗っ取る手法を用います。
これにより、あなた自身の監視カメラが攻撃者に向けられた形となり、リアルタイムの情報が直接攻撃者のインフラへ流れ込む状態になります。
こうした継続的なデータストリームを通じて、攻撃者は新しい仮想マシンのデプロイ状況を受動的に監視したり、権限の変更を追跡したり、機密データへのアクセスポイントを特定したりすることができます。
これらの脅威から身を守るためには、ロギング設定を変更できる権限を厳しく制限することが不可欠です。
APIコマンドへの最小権限の原則を適用するとともに、Google Cloudの組み込みログバケットやAWS CloudTrailのロックされたイベント履歴など、不変ストレージのオプションを活用して、重要なセキュリティ記録の完全性を確保してください。
翻訳元: https://cyberpress.org/cloud-logs-enable-exfiltration/
