脆弱な設定のAmazon S3を利用し、クレジットカード情報を盗難する攻撃が急増。

CISOアドバイザー

2019/7/13(土) 14:12

写真:GYRO PHOTOGRAPHY/アフロイメージマート（写真:GYRO PHOTOGRAPHY/アフロイメージマート）

セキュリティ企業のRiskIQの報告によると、誤った権限設定になっている、Amazon S3バケットに、クレジットカード情報を不正に取得するプログラムを埋め込む攻撃が急増しているという。この攻撃に利用されているドメイン数は1万7000個存在し、Alexaのトップ2000にランクインするような訪問者の多いのウェブサイトもこの攻撃に利用されているという。

■Amazon S3とは?

　Amazon社が提供するAWSのサービス群の一つ。AWS上で提供されるクラウドストレージサービスで有り、幅広いデータの格納に利用されている。

■2017年頃からS3の権限設定のミスが問題視され始めた

　S3はAWSの数あるサービスの中でも、最も活用されているサービスの一つだが、広く普及しているが故に、開発者の設定ミスや、それを狙う攻撃者の対象にもなりやすい。

　筆者も2017年頃から、この問題を指摘していた。2017年時点では、誤った権限設定によって、本来外部に公開してはならない機密情報が公開されてしまっているという「情報漏えい」が主なインシデントだった。

■不要な書き込み権限を持つS3バケットにスキミングプログラムを埋め込み

　筆者は、S3の権限設定ミスには、中間者攻撃に利用されるリスクが有ると2017年から指摘していたが、いよいよこれが現実の物となってきた。

　主にクレジットカード情報を盗む犯罪集団「Magecart」が、第三者でも書き込み可能な権限を与えられているS3バケットに対して、クレジットカード情報を盗み出す「スキミング」を実行するプログラムを埋め込む、攻撃キャンペーンを実施していることが、RiskIQの調査によって明らかになった。

　この攻撃キャンペーンでスキミングプログラムを埋め込まれたドメインは現在確認されているだけでも1万7000件を超えているという。

■S3の権限設定ミスは何故無くならないか?

　S3の権限設定ミスは2017年前後から、発覚することが増え始め、AWS自身も開発者への注意喚起やS3の権限ミス設定を防止するためのAmazon S3 Block Public Access機能をリリースする等の努力の結果、S3の権限設定ミスは減少傾向に有るが、それでも完全に無くなったわけではない。

　では、どうしてS3の権限設定ミスはなくならないか?筆者が普段実施しているAWSのリスクアセスメントを通じて得た経験から、原因の一部を記載したい。

　・AWSのサービスリリースの速度にエンジニアが追随出来ていない

　AWSは一年間に千を超えるサービス提供や、機能のアップデートを行う。これがAWSの競争力の源泉となっているが、その速度にエンジニアが追随出来ていないというのが、実態だろう。初めて使用する機能を完全に理解して実装することは現実的ではなく、手探りの状態で、技術ブログ等の情報を基に、前提条件等考慮されないまま、設定を施すことになる。

　　その結果、参照した技術ブログやドキュメントの通りに、何も考えずに設定した結果、セキュリティ的に脆弱な設定のままリリースされてしまっているAWSのシステムに遭遇することは少なくない。

　・一般的な脆弱性診断ではAWS固有の設定ミス等はスコープに入っていない

　AWSを利用してウェブサイト等を構築する場合、ウェブアプリケーション脆弱性診断を行うのが一般的だ。しかし、このような一般的なウェブアプリケーション脆弱性診断は、AWS環境に特化した脆弱性診断を実施するのではなく、汎用的な環境を想定した脆弱性診断を行うことになるため、「S3の権限設定ミス等は無いか?」等、AWS環境固有の問題等スコープ外となってしまっている。

　それに気が付かず、ウェブアプリケーション脆弱性診断にパスしたから、問題無しと捉えてサービス公開されてしまっているケースは多々ある。

　筆者は業務としてAWSセキュリティアセスメントというサービスを実施しており、これは「S3の権限設定ミス等は無いか?」「AWSアカウントの管理方法に脆弱性はないか?」等、AWS環境の脆弱性を診断するものであるが、このようなAWS自体のセキュリティアセスメントを提供している事業者はまだ少なく、広く認知されていないと感じている。