2025年6月9日 / 最終更新日時 : 2025年6月5日 IDF_export_user コラム

コラム第877号:「理事就任のご挨拶~クラウドセキュリティ?を添えて~」

第877号コラム:廣澤 龍典 理事(株式会社 NTTデータグループ 技術革新統括本部)
題:「理事就任のご挨拶~クラウドセキュリティ?を添えて~」

第22期より理事に就任いたしました廣澤と申します。一昨年からコラムを執筆させていただいていますが、改めて自己紹介をさせていただきます。私はIDF内において、若手が集まってデジタル・フォレンジックに関係する活動を行う「若手活動WG」の主査(リーダー)を務めています。本WGは第21期に設立された出来立てホヤホヤのWGではありますが、デジタル・フォレンジックに関連するドキュメントを作成するために調査や執筆を進めているほか、WG外部から見える実績としては初心者向けのハンズオンイベントを開催するなど、一歩ずつ着実に活動を進めています。コラム第868号「新年度のご挨拶:利用者認証と本人認証」において、上原会長が「IDFのプレゼンスの一層の向上と共に、会員の皆様同士の交流の活性化に力を入れていきたい」と書かれていましたが、本WGにおいても交流の活性化は重視しており、ネットワーキングパーティ(仮称)を開催予定です。これまでのIDFにはないイベントのため、手探りな部分もありますが自由に動きやすいWGであるという特色を活かし、新たな試みにもたくさん挑戦していきます。皆様への周知はもう少し先にはなるとは思いますが、ぜひご期待ください。

また、私はNTTデータグループにおいて、インシデントレスポンスを担当するCSIRTに所属しています。平時は主にOSINT(公開情報からの情報収集)を担当しており、脅威情報の収集や収集した情報を活用するための基盤運用などの業務に携わっています。基盤運用を行うなかではクラウドの便利さに魅力を感じる一方で、クラウド・セキュリティやクラウド・フォレンジックにはまだまだ考えるべきことや、啓発すべきことがあるのではないかと考え興味を持っているため、これらの知見も得られるよう業務と業務外共に励んでいます。

さて、このクラウド・セキュリティに関して、ある記者の方から「Amazon S3バケットの悪用リスク」について取材を受ける機会がありました。残念ながらセキュリティの話よりクラウドの使用方法に関心があったようで、私のコメントは記事に掲載されませんでしたが取材準備のために調査を進めたところ、本質はクラウド特有のセキュリティではなく、クラウドが普及する前から取り上げられていた内容であると分かりました。一概にクラウド・セキュリティと言って良いのかは難しいところですが、クラウドが普及したことで注目されるようになったセキュリティリスクとは言えますし、せっかくなので取材準備でまとめた内容をここで公開したいと思います。

S3などのオブジェクトストレージでは、ファイルを共有したり、静的Webホームページをホスティングするなど、ただ格納するだけではなく第三者にアクセスしてもらえるよう設定し、コンテンツを公開することができます。公開した際はsample-bucket[.]s3[.]amazonaws[.]com(※1)のように「バケットの名前.サービスの名前」といったグローバルで一意なドメインでアクセスできるようになります。問題となるのはコンテンツの公開が終了した場合です。バケットの中にあるコンテンツを削除していくことになりますが、バケットも削除した場合は別のクラウド利用者が同じバケット名を使用できるようになり、別のコンテンツを公開できるようになります。もし、元々のクラウド利用者が何かしらのサービスやサイトに、S3バケットにアクセスするためのドメインを参照するようにしており、バケット削除に伴って参照先の修正や削除を忘れていた場合、エンドユーザーは新たなクラウド利用者が公開したバケット(ドメイン)にアクセスするようになってしまいます。バケットを公開したのが悪意のある攻撃者であれば、既存の信用されていたドメインを簡単に取得(ドロップキャッチ)できたことになるので、マルウェアを格納しダウンロードさせたりファイルのアップロードを受け付けて情報摂取を試みたりと、様々な悪用方法を考えるでしょう。

この話のポイントはクラウドサービスの理解不足とドメイン管理です。前者は記載のとおりで、手放したバケット名は別のクラウド利用者が再利用できることを知っていれば、中身は削除してもバケットは手放さずに保持する、別のサービスやサイトからの参照がないか確認して修正するなど、適切な対応を取れていたでしょう。後者はクラウドの普及によって生じた新しい概念ではなく、かなり昔から取り上げられていた内容です。最も印象に残っているのはzei[.]tokyo[.]jpで、これは東京都の税金に関する公式サイトに思えますがそうではなく、上原会長が予防措置として確保していたドメインです。当時はこのドメインにアクセスすると、ドメイン管理に関する注意喚起が記載されておりTwitter(現X)でも注目されていたようです(※2)。そのほかにも様々な組織において、ドメイン管理に関係するトラブルがニュースになっています(※3~6)。ドメインを保持していなかったことが問題となった場合と、ドメインを保持していたが手放したことにより問題となった場合で少し詳細は異なりますが、自組織やそのサービスに関係するドメインを適切に取り扱う必要があることは共通しています。

クラウドの普及により、一定のスキルレベルが必要だった作業が誰でも簡単にできるようになりました。技術の普及が進むとそのセキュリティが注目されるのは自然な流れであり、実際にクラウド特有のセキュリティも存在します。一方で、サービスの仕様の理解不足であったり、以前からあった問題が少し形を変えただけであったり、古くからあるセキュリティ(今回で言えばドメイン管理の重要性)を理解し適切に実装や運用を行っていれば、注目されるほどではなかったセキュリティリスクも少なくありません。温故知新、クラウドに限らず何か新しい技術のセキュリティを考える際は、古くからある基礎的な内容や知見を活かすところから始めてみましょう。意外と難しく考えずとも正解に辿り着けるかもしれません。

※1 本ドメインはあくまで例示であり、執筆者が管理していないためアクセスはご遠慮ください

※2 東京都の税金のページと思いきや……個人の善意で悪用が防がれている公式サイト風ドメインが話題https://internet.watch.impress.co.jp/docs/yajiuma/1034966.html

※3 内閣府のサイトから風俗体験記にリンク 削除忘れドメイン失効→第三者が再取得https://www.itmedia.co.jp/news/articles/1805/09/news089.html

※4 なぜ「ドコモ口座」のドメインがオークションに?ドコモの見解はhttps://news.yahoo.co.jp/expert/articles/94066560a4a5f9eae4c552610da74665218cbb56

※5 ドメイン名失効による大学生協のシステム障害についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2023/11/14/232640

※6 ウイルス対策「マカフィー」のドメインが突然アダルトブログに 経緯を追ってみたhttps://news.yahoo.co.jp/expert/articles/4bcdf483a077ce0b0fe0530e5ef9c2b527f36bcf

【著作権は、廣澤氏に属します】

カテゴリー
コラム第22期
コラム

前の記事

コラム第876号:「アクティブサイバーディフェンスと企業のセキュリティ対策について その4」
2025年6月2日
コラム

次の記事

コラム第878号:「仮想通貨の取引履歴に対するプライバシーについて―United States v. Gratkowskiを手がかりに」
2025年6月16日