2017/08/09

Carbon Black のデータ漏洩 – 鍵保護の重要性を再認識する

鍵 キー アンロック 侵入 漏洩 データ 流出 サイバー攻撃
2017 年 8 月 9 日 Teri Radichel 著

あるセキュリティ調査会社が今日、自社のエンドポイントセキュリティシステムの侵害の詳細を明らかにするブログ記事を公開しました。ベンダである Carbon Black はこれに反論するブログ記事を発表し、この機能はデフォルトでオフになっており、オンにするとユーザに警告が通知されると説明しました。

責任ある方法での開示についての議論はひとまず棚上げにし、調査会社のブログ記事の説明を見てみることにしましょう。

我々は、他のファイルがいずれも類似する 1 つのアップローダによってアップロードされていることに気付きました。このサービスでは、API 鍵、この場合には、32d05c66 の背後にあるアップローダが明らかではありません。

無線セキュリティに関する以前の記事で述べたように、処理の過程で使用される鍵を誰かが盗むことができたとすれば、暗号化、認証、承認の意味が完全に失われます。鍵によって、それらの保護がすべて解除されてしまうためです。今回のブログ記事は、攻撃者が鍵を手に入れ、それを使ってシステムに侵入した場合の危険性を示しています。

鍵であるパスワードを保護することの重要性

攻撃者は多くの場合、総当り方式ではなく、単純な方法で鍵を発見します。この場合の鍵とは、SSH 鍵、API 鍵、暗号鍵、ID 鍵、あるいはシステムやデータへのアクセスを可能にする、これ以外の何らかの種類の鍵を指します。鍵とは、すなわち、パスワードであり、鍵は、家の玄関の鍵と同じ役割を果たします。悪意ある人物が鍵を手に入れた場合、いとも簡単に家に侵入されてしまうでしょう。窓を壊したり、道具を使って鍵をこじ開けたりする必要はありません。

鍵を盗まれないようにするには、鍵の存在を知り、それを手にすることができる人を制限します。ソースコントロールに鍵を置くのは、大きな間違いです。鍵を共有しないようにし、可能であれば、誰も鍵に触れさせないようにします。人間が介在しない方法で鍵を生成するシステムを設計し、鍵を保管したりバックアップしたりする場所に誰もアクセスできないようにします。悪意ある人物はもちろん、適切なトレーニングを受けていないプログラマがプログラムを使って鍵にアクセスすることのないようにします。

VenafiやHSM(ハードウェアセキュリティモジュール)などの鍵保管システムに暗号鍵を置くようにしてください。ハードウェアベンダの場合は、TPM(Trusted Platform Module)と呼ばれる、専用に設計された鍵保管コンポーネントに鍵を保管できます。クラウドの場合であれば、Amazon が、KMS CloudHSM という 2 つの鍵管理サービスを提供しています。Azure には Key Vault と呼ばれるサービスがあり、Google には Cloud Key Management Service と呼ばれるサービスがあります。

鍵(および鍵 ID)を保護するシステムとプロセスを設計する

公開された今回のブログ記事によれば、Carbon Black のシステムでは、1 つの鍵でシステム全体がハッキングされる可能性が考慮されていません。1 人の人間が API を調べて鍵を特定し、自分の鍵をハッキングするのであれば、大きな問題ではないでしょう。ハッキングできるのは自分のデータだけであり、被害者が他に及ぶことはありません。ところが、その同じ鍵でシステム全体にアクセスできるとしたら、そのたった 1 つの鍵で、あらゆるユーザのデータへのアクセスが可能になります。投稿された記事に対する Twitter のコメントで、公開されるのは鍵ではなく、鍵 ID であると指摘している人がいますが、鍵 ID でシステムへのアクセスが可能になるのであれば、鍵とまったく変わりありません。

1 つの対策として、すべてのユーザが 1 つの鍵を持つのではなく、ユーザごとに異なる鍵を持つようにすることをお勧めします。1 つの鍵でシステム全体がハッキングされないようにする良い方法は、鍵を階層化することです。Amazon は、Cloud HSM サービスに関連するブログ記事で、鍵の階層化について説明しています。

攻撃によって鍵を盗まれるかどうかを心配するのではなく、盗まれた時に備えた対策を検討する必要があります。鍵を正しい方法でローテーションするようにしておけば、この問題を簡単に軽減できます。そして、システムへの不正アクセスを監視し、発生時にすぐにアクセスを遮断できるようにしておくことをお勧めします。

Teri Radichel@teriradichel

関連記事:

侵入テストの会社が Carbon Black を「世界最大の有料データ不正取得ボットネット」と指摘
DirectDefense による Cb Response の設計上の脆弱性の指摘に対する反論
API 鍵 = セキュリティではない:API 鍵では不十分である理由
OWASP による暗号化ストレージの要点解説
OWASP による REST セキュリティの要点解説
責任ある開示の具体的な方法
※ リンク先の記事はすべて英文です