GoogleのVertex AI内部で権限を昇格させる新たな方法が、より広範な問題を浮き彫りにしている。企業はAI提供サービスに対して一定の信頼を置いているが、その前提は根本的に見直される必要がある。
GoogleのVertex AIで新たな権限昇格の脆弱性が見つかったことは、AIサービスエージェントの管理が、CISOにとってこれまで経験したことのない種類の課題であることを突きつける厳然たる警告だ。
XM Cyberは木曜日、Vertex AIに関する2つの異なる問題を報告した。デフォルト設定により、低権限ユーザーがより高権限のサービスエージェント(Service Agent)ロールへと足掛かりを得られるというものだ。しかし同社によれば、Googleは「システムは意図どおりに動作しているだけだ」と伝えてきたという。
「OWASP Agentic Top 10は、アイデンティティと権限の悪用をASI03として成文化したばかりだが、Googleは即座にケーススタディを提供してくれた」と、セキュリティ企業RockCyberのCEOであるRock Lambrosは述べた。「この展開は以前にも見た。OrcaはAzure Storageの権限昇格を見つけ、Microsoftは『仕様どおり』だと言った。AquaはAWS SageMakerの横移動経路を見つけ、AWSは『想定どおりに動作している』と言った。クラウドプロバイダーは『責任共有モデル』を、自社の安全でないデフォルト設定に対する責任回避の盾に変えてしまった。CISOは『マネージド』が『セキュア』を意味するという思い込みをやめ、AIワークロードに紐づくあらゆるサービスアイデンティティを監査し始めるべきだ。ベンダーが代わりにやってくれることは明らかにないのだから。」
Greyhound ResearchのチーフアナリストであるSanchit Vir Gogiaは、この報告は「GoogleのVertex AIの背後にある信頼モデルが、企業のセキュリティ原則と根本的に噛み合っていないことを示す窓」だと述べた。こうしたプラットフォームでは、「AI機能が初期状態のまま動作するよう、マネージドサービスエージェントに広範な権限が付与されている。しかし、その利便性は可視性と制御の代償を伴う。これらのサービスアイデンティティはバックグラウンドで動作し、プロジェクト全体に及ぶ権限を持ち、システムの挙動を理解しているユーザーなら誰でも操作できてしまう」と同氏は言う。
Googleはコメント要請に応じなかった。
脆弱性は、XM Cyberが報告書で説明したように、Vertex AIに関連するさまざまなロールに権限がどのように割り当てられているかに起因する。「中心となるのはサービスエージェントの役割だ。サービスエージェントとは、Google Cloudによって作成・管理され、サービスがあなたのリソースにアクセスし、あなたに代わって内部プロセスを実行できるようにする特別なサービスアカウントである。これらの不可視のマネージドアイデンティティはサービスの動作に必要なため、しばしば自動的にプロジェクト全体にわたる広範な権限が付与される」と同社は述べた。「これらの脆弱性により、最小限の権限しか持たない攻撃者でも高権限のサービスエージェントを乗っ取り、結果として、不可視のマネージドアイデンティティを権限昇格を助ける二重スパイへと変えてしまう。私たちがこの発見をGoogleに開示したところ、Googleの説明は、サービスは現時点で『意図どおりに動作している』というものだった。」
XM Cyberは、Vertex AIの「Viewer」ロール(最も低い権限レベル)に相当する最小限の権限しか持たないアイデンティティを制御できる人物でも、特定の状況下ではシステムを操作してサービスエージェントのアクセストークンを取得し、その権限をプロジェクト内で利用できる可能性があることを見つけた。
Gogiaは、この問題は憂慮すべきだと述べた。「クラウドプロバイダーが、低権限ユーザーが高権限のサービスアイデンティティを乗っ取れることを『意図どおりに動作している』と言うとき、実際に言っているのは、あなたのガバナンスモデルは彼らのアーキテクチャに従属するということだ」と同氏は言う。「多くの顧客が存在すら認識していないコンポーネントに権力を与えてしまう、構造的な設計欠陥だ。」
ベンダーが動くのを待つな
サイバーセキュリティコンサルタントでFormerGovのエグゼクティブディレクターであるBrian Levineも懸念を示した。「CISOが取るべき賢明な行動は、今すぐ代替的な補完コントロールを構築することだ。ベンダーが『意図された動作』を再定義するのを待つことは、セキュリティ戦略ではない」と同氏は述べた。
LexisNexis Risk Solutions GroupのCISOであるFlavio Villanustreは、「悪意ある内部者がこれらの弱点を利用し、通常許可される以上のアクセスを自分に付与する可能性がある」と警告した。しかし同氏は、「リスクを軽減するためにできることはほとんどなく、強いて言えば、認証スコープを縮小し、その間に堅牢なセキュリティ境界を導入することで、被害半径(blast radius)を小さくすることくらいだ」と述べた。ただし、「その結果、コストが大幅に増える副作用があり、商業的に実行可能な選択肢ではないかもしれない」とも付け加えた。
Gogiaは、最大のリスクは、企業向けセキュリティツールがそれらを探すようにプログラムされていないため、こうした穴が見過ごされる可能性が高いことだと述べた。
「多くの企業はサービスエージェントの挙動を監視していない。これらのアイデンティティのいずれかが悪用されても、攻撃者には見えない。プラットフォームが仕事をしているように見えるだけだ」とGogiaは言う。「それがリスクを深刻にしている。クラウドの姿勢(posture)を根本的に再設計しない限り、観測も制約も隔離もできないコンポーネントを信頼しているのだ。多くの組織はユーザー活動をログに記録するが、プラットフォームが内部で行うことは無視している。それを変える必要がある。サービスエージェントを特権を持つ従業員のように監視しなければならない。想定外のBigQueryクエリ、ストレージアクセス、セッション挙動に基づいてアラートを構築することだ。攻撃者はサービスエージェントに見えるのだから、検知はそこに焦点を当てる必要がある。」
同氏はさらにこう付け加えた。「組織は、理解していないアイデンティティの下でコードが実行され、監視していない行動が行われ、安全だと思い込んでいる環境で動いていることを信頼している。これは不可視のリスクの教科書的な定義だ。そしてAI環境ではそれが増幅される。AIワークロードはしばしば複数のサービスにまたがり、機微なデータセットを相互参照し、ログからAPIに至るまであらゆるものに触れるオーケストレーションを必要とするからだ。」
GoogleのVertex AIが権限昇格攻撃に脆弱だと判明したのは今回が初めてではない。2024年11月には、Palo Alto NetworksがGoogle Vertex AI環境で同様の問題を見つけたとする報告書を公表しており、その際、GoogleはPalo Altoに対し修正済みだと伝えていた。
