AWSにおける脆弱性対策｜サイバー攻撃の種類や対策に役立つサービス

AWSにおける脆弱性の基礎知識

AWSは、柔軟なリソースの配置やコスト調整が可能なクラウドサービスです。スタートアップから大企業まで幅広く利用されている一方で、適切なセキュリティ対策を行わない場合、脆弱性を突いたサイバー攻撃を受けるリスクが高まります。

AWSの導入を検討している人や既に運用を開始している人も、AWSにおける脆弱性の基礎知識を理解することが重要です。

AWSにおける脆弱性とは

AWSにおける脆弱性とは、OSやソフトウェア、アプリケーションに潜在的に存在するセキュリティ上の欠陥を指します。攻撃者はこれらの脆弱性を利用して不正アクセスを試み、重要なデータの流出やシステム障害を引き起こす可能性があります。

AWSの場合、さまざまなAWSサービスを組み合わせて自ら設定を行うため、インフラストラクチャの設定ミスなども発生しやすいです。

AWSにおいて脆弱性対策を行わないことのリスク

不正アクセスやサイバー攻撃は、脆弱性を突いて大きな被害に繋がるケースが多いです。

例えば、Amazon S3バケットに機密情報を保管しているにもかかわらず、AWS KMSなどのデータの暗号化が適切に設定されていないと、自社の重要な情報が外部に漏洩する可能性があります。

また、Amazon EC2インスタンス上で動作するアプリケーションに脆弱性があると、攻撃者にプログラムの改ざんがされてしまい、サービスの中断などにつながる恐れがあります。
会社の信用が損なわれたり、売り上げの機会損失につながったりするため、リスクを正しく認識しましょう。

他にも、適切な脆弱性対策を行わなかったために、自社が加害者となるケースがあります。例として、自社が運用しているAWSサービスが踏み台として利用され、取引先企業へのスパムメール送信や自社ページ改ざんによるマルウェア感染などを引き起こすケースです。
自社が他社や顧客へ損害を与える可能性があることを認識することが大切です。

脆弱性を突いた主な攻撃

さまざまなサイバー攻撃が、AWSの脆弱性を突いて実行されます。ここでは、代表的な脆弱性を突いた主な攻撃を4つ解説します。

クロスサイトスクリプティング

クロスサイトスクリプティングは、Webサイトの脆弱性を利用して不正なスクリプトを埋め込み、利用者に対するなりすましや不正操作を実行するサイバー攻撃です。

攻撃者は、AWSサービスのAmazon EC2インスタンス上のWebサイトや設定ミスを悪用し、さまざまな重要情報を盗む可能性があります。クロスサイトスクリプティングによって引き起こされる主なリスクを紹介します。

個人情報の窃取：攻撃者は、利用者がWebサイトに入力した名前や住所、クレジットカード情報などを取得し、不正利用される可能性があります。

セッションIDの窃取：セッションIDを盗まれると、攻撃者は利用者になりすまして不正な情報操作や不正利用が行われます。

クリックジャッキング：攻撃者がWebサイト上に透明なボタンやリンクを埋め込み、対象が気付かずにクリックすることで、個人情報の入手や不正なトランザクションを発生させます。

マルウェア配布：攻撃者が悪意のあるスクリプトを実行させることで、利用者のデバイスにマルウェアを感染させ、情報漏洩や不正アクセスを起こす可能性があります。

クロスサイトリクエストフォージェリ

クロスサイトリクエストフォージェリは、攻撃者が利用者のブラウザを悪用し、意図しないリクエストを送信させる攻撃です。AWS環境では、AWS IAMポリシーの誤設定やAPIの不適切な認証設定が脆弱性となり、攻撃を受ける可能性があります。

クロスサイトリクエストフォージェリによって引き起こされる主なリスクを紹介します。

不正なリクエストの実行：攻撃者は、利用者の認証情報を悪用し、不正な送金やパスワード変更などの意図しない操作を実行する可能性があります。

機密情報の漏洩：利用者のAWSアカウントが乗っ取られることで、Amazon S3バケットやデータベースの機密情報が漏洩する危険性があります。

SQLインジェクション

SQLインジェクションは、データベースにSQLを不正に実行させ、情報を取得・改ざんする攻撃です。
AWS RDSやAmazon DynamoDBなどのデータベースを使用する際に、適切なセキュリティポリシーの設定でデータ保護を行わないと、データベース内のデータ漏洩リスクが高まります。

SQLインジェクションによって引き起こされる主なリスクを紹介します。

データの改ざんや削除：攻撃者は、不正なSQLコマンドを実行し、データを改ざんまたは削除することで、企業活動に影響を与えます。

アカウントの不正取得：攻撃者が、不正なSQLコマンドを実行し、認証情報を取得したことで、不正アクセスする可能性があります。

バッファオーバーフロー

バッファオーバーフローは、アプリケーションが想定外のデータを受け取らせることで生じるエラーを狙った攻撃です。
AWS Lambdaの関数設定や各サービスのメモリ管理が適切に行われないことが原因になります。

バッファオーバーフローによって引き起こされる主なリスクを紹介します。

サービスの異常終了：攻撃者が意図的にメモリを過剰消費させることで、サービスのダウンを引き起こし、業務継続を困難にさせます。

任意コードの実行：メモリ領域から攻撃者が不正なコードを実行し、システムに侵入します。

AWSの脆弱性対策において必要なこと

安全にAWSを利用するためには、責任範囲の考え方を理解しましょう。

AWSでは「責任共有モデル」を採用しており、AWSとサービス利用者が担当する責任範囲を明確に分けて  います。
AWSの責任は、ハードウェアやネットワーク機器、クラウドサービスを実行しているデータセンター、一部のソフトウェアにあります。

対して、AWSサービス利用者の責任は、ネットワーク設定やアプリケーション、データの暗号化、アクセス権限の管理などです。
そのため、AWSと自社であるサービス利用者がどの範囲に対して責任を持つか意識することが重要です。
ここでは、AWSの脆弱性対策において必要なことと、実施方法を3つ解説します。

情報の収集

1つ目は、情報の収集です。
AWSでは、提供するサービスやアプリケーションのセキュリティアップデートに関する情報を確認できます。
新しい脆弱性が発見されると、脆弱性対策情報のデータベース「JVN（Japan Vulnerability Notes）」にて情報が公開されます。
識別番号で深刻度が判定できるため、早期に対処することが可能です。

まずは、AWSが提供する脆弱性対策情報を定期的に収集し、セキュリティリスクが高まっていないかを確認することが重要です。

ハードウェアとソフトウェアの管理

2つ目は、ハードウェアとソフトウェアの管理です。
利用しているハードウェアやソフトウェアで脆弱性が発生していないか確認することが重要です。

それぞれの公式サイトで脆弱性情報が確認できるため、利用しているバージョンを把握した上で、問題が起こらないかを確認します。

製品によってはセキュリティパッチ適用で解消できるものがあるため、公式サイトに従って対処しましょう。

脆弱性の診断

AWSでは、脆弱性の診断を受けられます。
サービスの詳細は後述しますが、ソフトウェアの脆弱性検知や悪意のあるアクティビティをモニタリングするサービスがあります。

他にも、利用バージョンが最新でない場合に通知が表示されるサービスや、AWS Configを使用してセキュリティルールの適用状況をチェックし強化するサービスの利用がおすすめです。

AWSの脆弱性対策に役立つサービス

AWSには脆弱性対策に役立つサービスが複数あります。ここでは代表的な2つのサービスについて、解説します。

Amazon Inspector

Amazon InspectorはAWSが提供する自動脆弱性管理サービスです。
主に、ソフトウェアの脆弱性や意図しないネットワークの露出などを自動的に検出し、継続的にスキャンを行います。

現在のセキュリティに関するリスクをセキュリティスコア、リスクスコアとして評価し、結果を基に自動修正する機能があります。

Amazon GuardDuty

Amazon GuardDutyは、AWSが提供するAWS環境内の脅威を自動検出するセキュリティサービスです。
主に、悪意のあるIPアドレスからの通信を検知、特定したり、ログ分析からセキュリティインシデントを早期発見したりします。
他のAWSサービスとの連携も可能で、AWS Lambdaと連携し、不審なアクセスを自動的にブロックさせることも可能です。

AWSの脆弱性対策を怠ると

AWSの脆弱性対策を怠ると、重要データの漏洩やサービス停止による業務への影響があることをお分かりいただけたでしょうか。
他にも、自社が加害者となり、顧客や取引先企業への攻撃を引き起こす可能性があります。
日々進化するサイバー攻撃に対抗するためには、適切なセキュリティ対策を実施しAWSから提供されているサービスを活用することが重要です。

サーバーワークスでは、オンプレミス環境からAWSへの移行やシステム構築、最適化を支援しています。
AWSの脆弱性対策の対応は、クラウドセキュリティを理解し、セキュリティ脆弱性に対し適切な対応や処理を行うことが重要です。

AWSの脆弱性セキュリティ診断設定についても、お気軽にサーバーワークスにご相談ください。

オンプレミスからのAWS移行、システム構築、最適化を支援