クラウドデータ流出
クラウドデータ流出 とは何ですか?
クラウドデータ流出クラウドアカウントから無許可でデータを複製・転送する行為で、オブジェクトストレージ API、スナップショット、レプリケーション、攻撃者のアカウントなどが利用される。
クラウドデータ流出は、侵害したクラウドサービスから攻撃者の管理するインフラへデータを移送する段階を指します。代表的な手法には S3 GetObject や Sync、SharePermission を使った EBS/RDS スナップショットの攻撃者アカウントへの共有、クロスアカウントレプリケーション、BigQuery や Athena のエクスポート、バケットの公開、長期有効な署名付き URL があります。流出は、オブジェクトのバージョニングやバックアップツールといった正規サービスに紛れ込ませることもできます。防御には、最小権限の IAM、ストレージとスナップショットのクロスアカウント共有に対する Deny ルール、SCP を併用した VPC エンドポイント、CMK による暗号化、異常トラフィック検知、保存データの DLP スキャンが必要です。
● 例
- 01
盗まれた IAM 資格情報で重要バケットに対して aws s3 sync を実行する。
- 02
RDS スナップショットを外部 AWS アカウントに共有して顧客テーブルを抜き取る。
● よくある質問
クラウドデータ流出 とは何ですか?
クラウドアカウントから無許可でデータを複製・転送する行為で、オブジェクトストレージ API、スナップショット、レプリケーション、攻撃者のアカウントなどが利用される。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。
クラウドデータ流出 とはどういう意味ですか?
クラウドアカウントから無許可でデータを複製・転送する行為で、オブジェクトストレージ API、スナップショット、レプリケーション、攻撃者のアカウントなどが利用される。
クラウドデータ流出 からどのように防御しますか?
クラウドデータ流出 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
クラウドデータ流出 の別名は何ですか?
一般的な別名: クラウドエグレス, クラウドバケット流出。