クラウドデータ流出
クラウドデータ流出 とは何ですか?
クラウドデータ流出クラウドアカウントから無許可でデータを複製・転送する行為で、オブジェクトストレージ API、スナップショット、レプリケーション、攻撃者のアカウントなどが利用される。
クラウドデータ流出は、侵害したクラウドサービスから攻撃者の管理するインフラへデータを移送する段階を指します。代表的な手法には S3 GetObject や Sync、SharePermission を使った EBS/RDS スナップショットの攻撃者アカウントへの共有、クロスアカウントレプリケーション、BigQuery や Athena のエクスポート、バケットの公開、長期有効な署名付き URL があります。流出は、オブジェクトのバージョニングやバックアップツールといった正規サービスに紛れ込ませることもできます。防御には、最小権限の IAM、ストレージとスナップショットのクロスアカウント共有に対する Deny ルール、SCP を併用した VPC エンドポイント、CMK による暗号化、異常トラフィック検知、保存データの DLP スキャンが必要です。
● 例
- 01
盗まれた IAM 資格情報で重要バケットに対して aws s3 sync を実行する。
- 02
RDS スナップショットを外部 AWS アカウントに共有して顧客テーブルを抜き取る。
● よくある質問
クラウドデータ流出 とは何ですか?
クラウドアカウントから無許可でデータを複製・転送する行為で、オブジェクトストレージ API、スナップショット、レプリケーション、攻撃者のアカウントなどが利用される。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。
クラウドデータ流出 とはどういう意味ですか?
クラウドアカウントから無許可でデータを複製・転送する行為で、オブジェクトストレージ API、スナップショット、レプリケーション、攻撃者のアカウントなどが利用される。
クラウドデータ流出 はどのように機能しますか?
クラウドデータ流出は、侵害したクラウドサービスから攻撃者の管理するインフラへデータを移送する段階を指します。代表的な手法には S3 GetObject や Sync、SharePermission を使った EBS/RDS スナップショットの攻撃者アカウントへの共有、クロスアカウントレプリケーション、BigQuery や Athena のエクスポート、バケットの公開、長期有効な署名付き URL があります。流出は、オブジェクトのバージョニングやバックアップツールといった正規サービスに紛れ込ませることもできます。防御には、最小権限の IAM、ストレージとスナップショットのクロスアカウント共有に対する Deny ルール、SCP を併用した VPC エンドポイント、CMK による暗号化、異常トラフィック検知、保存データの DLP スキャンが必要です。
クラウドデータ流出 からどのように防御しますか?
クラウドデータ流出 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
クラウドデータ流出 の別名は何ですか?
一般的な別名: クラウドエグレス, クラウドバケット流出。
● 関連用語
- cloud-security№ 190
クラウドトークン窃取
クラウド ID サービスから OAuth、SAML、署名鍵といったトークンを盗み出し、再生して認証情報なしでユーザーやサービスになりすます攻撃。
- cloud-security№ 186
クラウドキー漏えい
長期有効のクラウドアクセスキーが公開リポジトリ、コンテナイメージ、ログ、クライアントコードに誤って露出し、しばしば数分以内に悪用される事象。
- cloud-security№ 505
IAM 権限昇格
既存のクラウド IAM 権限を悪用し、ポリシーの編集、ロールの引き受け、または自身への管理者権限付与によってより高い権限を獲得する手法。
- cloud-security№ 187
クラウドメタデータ SSRF
脆弱なアプリを介してクラウド事業者のインスタンスメタデータサービスを問い合わせさせ、一時的な資格情報を盗むサーバーサイドリクエストフォージェリ攻撃。
● 関連項目
- № 211コンテナエスケープ
- № 079AWS IMDSv1 攻撃
- № 598Kubernetes クラスター攻撃
- № 255CSPM ファインディング