クラウドキー漏えい
クラウドキー漏えい とは何ですか?
クラウドキー漏えい長期有効のクラウドアクセスキーが公開リポジトリ、コンテナイメージ、ログ、クライアントコードに誤って露出し、しばしば数分以内に悪用される事象。
クラウドキー漏えいは、AWS Access Key ID と Secret Access Key、Azure Storage アカウントキー、GCP サービスアカウント JSON といった長期有効な資格情報が、公開 Git リポジトリへのコミット、Web/モバイルバンドルへの埋め込み、コンテナイメージへの焼き込み、詳細ログへの出力などで露出することで発生します。攻撃者や研究者が運用する自動スキャナはこれらを数秒で検出し、API を即座に呼び出して計算リソースを起動し、データ持ち出しや権限昇格を行います。対策にはコミット前のシークレットスキャン(gitleaks、trufflehog)、プロバイダー側検出(AWS、GitHub Secret Scanning)、OIDC によるフェデレーション短命資格情報、即時失効の手順書、CloudTrail の異常通知が含まれます。
● 例
- 01
AKIA で始まる AWS キーが公開 GitHub リポジトリにコミットされ、5 分以内にクリプトジャッキングに悪用される。
- 02
フロントエンドのバンドルに漏えいした GCP サービスアカウント JSON が BigQuery データセット抽出に使われる。
● よくある質問
クラウドキー漏えい とは何ですか?
長期有効のクラウドアクセスキーが公開リポジトリ、コンテナイメージ、ログ、クライアントコードに誤って露出し、しばしば数分以内に悪用される事象。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。
クラウドキー漏えい とはどういう意味ですか?
長期有効のクラウドアクセスキーが公開リポジトリ、コンテナイメージ、ログ、クライアントコードに誤って露出し、しばしば数分以内に悪用される事象。
クラウドキー漏えい からどのように防御しますか?
クラウドキー漏えい に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
クラウドキー漏えい の別名は何ですか?
一般的な別名: AWS キー漏えい, クラウド資格情報漏えい。