クラウドキー漏えい
クラウドキー漏えい とは何ですか?
クラウドキー漏えい長期有効のクラウドアクセスキーが公開リポジトリ、コンテナイメージ、ログ、クライアントコードに誤って露出し、しばしば数分以内に悪用される事象。
クラウドキー漏えいは、AWS Access Key ID と Secret Access Key、Azure Storage アカウントキー、GCP サービスアカウント JSON といった長期有効な資格情報が、公開 Git リポジトリへのコミット、Web/モバイルバンドルへの埋め込み、コンテナイメージへの焼き込み、詳細ログへの出力などで露出することで発生します。攻撃者や研究者が運用する自動スキャナはこれらを数秒で検出し、API を即座に呼び出して計算リソースを起動し、データ持ち出しや権限昇格を行います。対策にはコミット前のシークレットスキャン(gitleaks、trufflehog)、プロバイダー側検出(AWS、GitHub Secret Scanning)、OIDC によるフェデレーション短命資格情報、即時失効の手順書、CloudTrail の異常通知が含まれます。
● 例
- 01
AKIA で始まる AWS キーが公開 GitHub リポジトリにコミットされ、5 分以内にクリプトジャッキングに悪用される。
- 02
フロントエンドのバンドルに漏えいした GCP サービスアカウント JSON が BigQuery データセット抽出に使われる。
● よくある質問
クラウドキー漏えい とは何ですか?
長期有効のクラウドアクセスキーが公開リポジトリ、コンテナイメージ、ログ、クライアントコードに誤って露出し、しばしば数分以内に悪用される事象。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。
クラウドキー漏えい とはどういう意味ですか?
長期有効のクラウドアクセスキーが公開リポジトリ、コンテナイメージ、ログ、クライアントコードに誤って露出し、しばしば数分以内に悪用される事象。
クラウドキー漏えい はどのように機能しますか?
クラウドキー漏えいは、AWS Access Key ID と Secret Access Key、Azure Storage アカウントキー、GCP サービスアカウント JSON といった長期有効な資格情報が、公開 Git リポジトリへのコミット、Web/モバイルバンドルへの埋め込み、コンテナイメージへの焼き込み、詳細ログへの出力などで露出することで発生します。攻撃者や研究者が運用する自動スキャナはこれらを数秒で検出し、API を即座に呼び出して計算リソースを起動し、データ持ち出しや権限昇格を行います。対策にはコミット前のシークレットスキャン(gitleaks、trufflehog)、プロバイダー側検出(AWS、GitHub Secret Scanning)、OIDC によるフェデレーション短命資格情報、即時失効の手順書、CloudTrail の異常通知が含まれます。
クラウドキー漏えい からどのように防御しますか?
クラウドキー漏えい に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
クラウドキー漏えい の別名は何ですか?
一般的な別名: AWS キー漏えい, クラウド資格情報漏えい。
● 関連用語
- cloud-security№ 190
クラウドトークン窃取
クラウド ID サービスから OAuth、SAML、署名鍵といったトークンを盗み出し、再生して認証情報なしでユーザーやサービスになりすます攻撃。
- cloud-security№ 505
IAM 権限昇格
既存のクラウド IAM 権限を悪用し、ポリシーの編集、ロールの引き受け、または自身への管理者権限付与によってより高い権限を獲得する手法。
- cloud-security№ 182
クラウドクリプトジャッキング
被害者のクラウド計算リソースを無断で使用して暗号資産を採掘し、高額な請求を被害者に負わせつつ攻撃者が報酬を得る攻撃。
- cloud-security№ 183
クラウドデータ流出
クラウドアカウントから無許可でデータを複製・転送する行為で、オブジェクトストレージ API、スナップショット、レプリケーション、攻撃者のアカウントなどが利用される。
● 関連項目
- № 079AWS IMDSv1 攻撃
- № 255CSPM ファインディング