2022年の脅威予測:クラウドAPIサービス、アプリ、コンテナが標的に

McAfee EnterpriseとFireEyeは、2022年の脅威予測を発表しました。2022年のAPIサービスやコンテナを悪用したアプリをターゲットにしたクラウドセキュリティのトピックを深く掘り下げて解説します。

予測5:APIのリスクが増大

APIサービスとアプリ間の5G及びIoTトラフィックが利益を生み出すターゲットに

最近の統計によると、全インターネットトラフィックの80%以上がAPIベースのサービスに関連していると指摘されています。ターゲットを探している脅威の開発者は、この使用量の増加に注目しています。

様々な用途に使われるAPIはもはや単なるアプリケーションのミドルウェアではありません。今日私たちが使う最新のアプリケーションの、ほぼすべてのバックボーンとなるまでに進化しました。その例として次のようなものがあります。

  • 5Gモバイルアプリケーション – 5G接続とIoTエンドポイントの設置が急激に増加した結果、より広い範囲で接続可能
  • IoT(Internet of Things) – 2025年までに世界中で309億台以上のIoTデバイスが使用されると予想 (産業用IoTの市場は2021年に1240億ドルに達すると予想された)
  • ダイナミックWebベースのオフィス/生産性スイート – 世界中のクラウドベースのオフィス/生産性ソフトウェアの市場は、2026年までに507億ドルに達すると予想

    一般的に、APIは信頼できる経路であると思われていて、ガバナンスやセキュリティコントロールのレベルがあまり安全に管理されていません。そのため、APIを標的とした攻撃がほとんど検知されません。

    今後、起こりうる主なリスクは次の通りです。

    1. APIの設定ミスにより、意図しない情報漏洩が発生
    2. Oauth/Golden SAMLなどの最新の認証システムの悪用によってAPIへのアクセスを取得し、標的の環境内に滞留
    3. クラウドAPI(例:Microsoft Graph APIなど)を使用した従来のマルウェア攻撃が進化、標的に到達して拡大する(SolarWinds社への攻撃やAPT40/ GADOLINIUMなど他の攻撃者ーでも既にエビデンスがある)
    4. クラウドストレージサービス(例:OneDrive)などの企業データに対し、APIを悪用したランサムウェア攻撃の可能性
    5. ソフトウェア定義のインフラストラクチャにAPIを使用することにより、悪用目的のシャドーインフラストラクチャの構築、または、インフラストラクチャの完全な乗っ取りにつながる可能性がある

    消費されたAPIを確認する機能を利用しアプリケーションの使用状況を可視化することは、組織にとって優先事項であるべきです。その最終的な目標は、アクセスされたAPIのリスクベースのインベントリと、そのようなサービスへのアクセスを制御するためのガバナンスポリシーを持つことです。またAPIをより広範な企業エコシステムと統合するサービスアカウントやアプリケーション原則など、インフラ内の非ユーザベースのエンティティを可視化することも重要です。

    開発者の優先事項は、APIの効果的な脅威モデル開発とゼロトラストアクセスコントロールの仕組みを用いて、効果的なセキュリティログとテレメトリによるより良いインシデント対応をすること、そして悪意のある不正使用を検出することです。


    予測6:コンテナの悪用が拡大

    エンドポイントのリソース乗っ取りにつながる可能性

    コンテナは、最新のクラウドアプリケーションのデファクトプラットフォームとなりました。ポータビリティ、効率化、スピードなどの利点があり、ビジネスのイノベーションを促進するアプリケーションを導入・管理するうえで、時間を短縮できます。しかし、コンテナの利用が加速すると、組織にとっては攻撃対象が増加します。どのような技術に注意すべきでしょうか。そして、どのようなコンテナ・リスク・グループが狙われるのでしょうか。外部公開されたアプリケーションへの攻撃(MITRE T1190)は、APTやランサムウェアグループがよく使う手法です。サイバー犯罪者はセキュリティに関するニュースを読み込み悪用できそうな手段を探し続けており、MITRE T1190は悪用されやすい侵入経路になっています。過去には、リモートアクセスソフトウェア、ウェブサーバ、ネットワークエッジ機器、ファイアウォールなどの脆弱性が侵入経路として利用された事例が多数あります。

    CSA(The Cloud Security Alliance)は、 次の複数のコンテナ・リスク・グループを特定しました。

      • イメージのリスク
        • イメージの脆弱性
        • イメージの設定の不備
        • 埋め込まれたマルウェア
        • 埋め込まれた平文の機密事項
        • 信頼できないイメージの使用
      • オーケストレータ
        • 無制限の管理アクセス
        • 許可されていないアクセス
        • コンテナ間ネットワークトラフィックの不十分な分離
        • ワークロードの機微性レベルの混合
        • オーケストレータノードの信頼
      • レジストリ
        • レジストリへのセキュアでない接続
        • レジストリ内の古いイメージ
        • 不十分な認証・認可制限
      • コンテナ
        • ランタイムソフトウェア内の脆弱性
        • コンテナからの無制限のネットワークアクセス
        • セキュアでないコンテナランタイムの設定
        • アプリの脆弱性
        • 未承認コンテナ
      • ホストOSコンポーネント
        • 大きなアタックサーフェス
        • 共有カーネル
        • 不適切なユーザーアクセス権
        • ホストファイルシステムの改ざん
      • ハードウェア

      どのように保護すればよいのでしょうか。推奨される緩和策は、設定ミスに対する継続的なポスチャ アセスメント、イメージの完全性チェック、管理者権限の制御によるセキュリティDevOpsプロセスの導入です。Mitre ATT&CK Matrix for Containers を使用して、クラウドセキュリティアーキテクチャのギャップを特定してください。

      ※本ページの内容は2021年11月14日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
      原文: Cloud API Services, Apps and Containers Will Be Targeted in 2022
      著者: Mo Cashman and Arnab Roy