Google Cloud(Mandiant)は2023年8月、脅威レポート『Threat Horizons(脅威の展望)』を公開した。同レポートは、エンタープライズのクラウドユーザーに向けた、サイバー脅威に係わる戦略的なインテリジェンスを提供することを目的としたもの。その内容やポイントについて、Google Cloud アジア太平洋地域のCISO室長であるMark Johnston(マーク・ジョンストン)氏に話を訊いた。
脅威レポート『Threat Horizons』の注目すべきポイントは?
Google Cloudのレポート『Threat Horizons』(PDF)について、「Google Cloudというハイパースケーラーのクラウドプロバイダーとしての独自の可視性を活用し、クラウドの脅威を理解するとともに脅威に対して深い調査を行うことで、特定の指標やトレンドなどを把握しています」とジョンストン氏は説明。最新のクラウド環境において、脅威がどのようなものかを説明するだけでなく、そうした脅威から組織を保護し、検知と対応を行うための方法について提供することも目的だという。
同レポートでは、「2023年第1四半期に発生したインシデントの半数以上は、クレデンシャル(認証情報)に関するものであった」ことが最初に挙げられている。クラウドの侵害要因で最も多かったものは「パスワードが弱いか、ない」(54.8%)であり、「設定ミス」が19.0%、「センシティブなUI、またはAPIの漏えい」が11.9%を占めていた。
『Threat Horizons』(Google Cloud、2023年8月)より引用
なお、クレデンシャル(認証情報)に関するインシデントに「設定ミス」と「APIの漏えい」などの要因が関連すると、より大きなインシデントにつながることがある。たとえば、ファイアウォールの誤った設定により、意図せずUIへのパブリックアクセスが可能になってしまうケースなどが考えられるだろう。事実、こうしたインシデントは多く発生している。
レポートでは他に、「バージョン管理でクラウドエンタープライズの検知を回避するモバイルアプリ」「Google Cloudで侵害された顧客のドメインとIPを特定する」「通信業界のプロファイル:ゼロトラストとクラウドの導入で脅威を軽減する方法」などがトピックとして取り上げられている。前述した通り、これらの脅威に関する詳細な情報に加えて、保護のための方策やツールにも言及されているという。
狙われる通信事業者、米国では2023年前半で重大インシデント3件
レポートではトピックが列挙されているが、Google Cloudが最も重視しているものは何かをジョンストン氏に聞くと“通信業界における脅威”を挙げた。「通信インフラが重要なバックボーンであることは各国共通です」とジョンストン氏は指摘する。
たとえば、米国では2023年上半期に通信事業者における重大な情報漏えい事故が3件発生。同業界ではモダナイゼーションを進めている企業が多い中、サイバーインシデントが継続的に発生しているなど危機に直面している最中だ。
『Threat Horizons』(Google Cloud、2023年8月)より引用
「DXを推進する中で、特に重要性が増しているのが『ゼロトラスト』です。実際に、従来のようにネットワークやその境界のデバイスに依存せず、重要インフラを守るためにセキュリティレベルを高めていく動きが見受けられます。Google Cloudでは特に、金銭目的のサイバー犯罪と対策にフォーカスしています」
たとえば、「SIMスワッピング」によりMicrosoft Azureの仮想マシン(VM)上のシリアルコンソールへの特権アクセスを獲得し、クライアント環境内にリモート管理ソフトウェアをインストールする攻撃が2022年に確認されている。これは、通信事業者を標的とする「UNC3944」と呼ばれる攻撃者グループによるもの。この攻撃方法は、Azureの検知機能の多くを回避し、攻撃者がVMへの完全な管理アクセスを獲得できた点が特徴的だ。
また、従来のSMSなどを活用した多要素認証に依存し続けると、認証を回避されるリスクも発生してしまうとジョンストン氏は指摘する。Google Cloudとしても「FIDO2」などのフィッシングに対応した強固な認証の仕組みを活用し、レガシーとなっている多要素認証技術を保護することを強く推奨するという。
「Googleでは最新のゼロトラストアプローチにより、各サービスにおいてデータ漏えいのリスクを低減しています。前述した通り、通信事業者はDX推進とセキュリティの確保に苦労していますが、クラウド環境を採用することがインフラを保護する上で非常に重要な要素となるでしょう」
特に、通信事業者はセキュリティオペレーションのスケールに苦慮しているとして、クラウド環境ならば最新のセキュリティオペレーション・プラットフォームの利用環境が整っており、通信インフラを守るために必要な脅威情報の収集と保護に寄与できるとした。