クラウド環境特有のリスク金融大手Capital One情報漏洩事件

2023.06.06 岡山大

2019年7月29日に、米国の金融大手Capital Oneがサイバー攻撃による被害を公表しています。今年3月に、1億人を超えるユーザー情報が漏洩しています。

この事件の特徴的な点として、攻撃者がAWSで用いる一連のコマンドに習熟していたため、2019年3月22日と23日の2日間の短い期間で攻撃が完了していることがあります。

Capital OneのAWS環境には、WAFの設定ミスに起因するSSRF(サーバーサイドリクエストフォージェリー)脆弱性が存在していました。
SSRFは、公開されているサーバーを経由して、本来であれば直接アクセスできない内部サーバーに対する攻撃を許す脆弱性です。
SSRFはウェブアプリケーションファイアウォールで防げる場合がありますが、Capital OneのWAF設定にミスがあったため、SSRF攻撃を受けてしまったと考えられます。
攻撃者はこの脆弱性により、WAFを介してインスタンスメタデータにアクセス、IAM Roleの認証情報を入手しています。
このIAM Roleに必要以上の権限が付与されていたため、S3ストレージへのアクセスが可能になっていました。

下記のブログ記事に、今回のCapital Oneへの攻撃の詳細な方法が解説されています。
An SSRF, privileged AWS keys and the Capital One breach

この件では、ウェブアプリケーションの脆弱性以外にも、インスタンスの設定ミスや、必要のない権限の存在など、クラウド環境特有のリスクが顕在化しています。

スケーラビリティや可用性など、クラウド環境のメリットを最大限に享受するためには、アプリケーションの脆弱性にとどまらず、システムの設定やユーザー権限など、潜在的リスクを可視化する必要があります。

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む