　クラウド環境の設定ミスやセキュリティ対策の甘さを突いて攻撃を仕掛けられ、情報流出などの被害が発生する事件が後を絶たない。攻撃側は常にネットワークスキャンなどの偵察活動をして、弱点のあるサービスを探し出す。セキュリティ企業の実験で、そうした弱点が瞬く間に見つけられ、悪用される実態が浮き彫りになった。

　「設定ミスや脆弱性のあるサービスがインターネットにさらされれば、機会をうかがう攻撃者がそのサービスを発見して侵害するまで、わずか数分しかかからない」。米セキュリティ企業Palo Alto NetworkのUnit 42はそう指摘する。同社はパブリッククラウドに対する攻撃の実態を調べるため、意図的に設定を甘くしたおとり用のハニーポットインフラを、世界各地に配置した。

Palo Alto NetworkのUnit 42の記事

　研究チームは2021年7月から1カ月、320ノードのハニーポットインフラを北米とアジア太平洋、欧州に配置。クラウド環境で使うSSH（Secure Shell）やRDP（リモートデスクトップ）、SMB（Samba）、Postgresデータベースの4アプリケーションを320のハニーポットに均等に実装し、少数のアカウントで意図的に「admin:admin」「guest:guest」「administrator:password」などの弱いパスワードを設定した。

　この状態で攻撃を受ける時間や頻度、発生源を観察した結果、320のハニーポットのうち80％が24時間以内に、1週間以内には全てが侵害された。各ハニーポットは、攻撃者が認証を突破してアプリケーションにアクセスするなどの侵害を検知すると、リセットして配備し直した。

　最も多く攻撃されていたのはSSHハニーポットで、最大で1日に169回も侵害されたものもあった。個々のSSHハニーポットが侵害された回数は、平均で1日当たり26回に上った。Postgresについては、80のハニーポットのうち96％をわずか30秒で侵害した攻撃者もいた。最初に侵害されるまでの平均時間もSSHが最も短く184分、次いでPostgresが511分、RDPが667分、Sambaが2485分の順だった。

　「攻撃者が我々のハニーポットを数分で見つけて侵害した事実はショッキングだった。今回の調査は、セキュリティに不備がある状態で露呈したサービスの危険性を見せつけた」とUnit 42は分析する。

　脆弱性のあるサービスは大抵の場合、異なる攻撃者によって1日に何度も侵害される。その攻撃発生の間隔が最も短かかったのもSSHだった。

攻撃の発信源はどこか？

　　　　　　 1|2 次のページへ