概要:Azure Blob Storageを狙う脅威
脅威アクターは、組織のリポジトリに侵入し、重要なワークロードを妨害するために、Microsoftの主要なオブジェクトストレージソリューションであるAzure Blob Storageを標的とすることが増えています。AI、高性能コンピューティング、分析、メディアストリーミング、エンタープライズバックアップ、IoTインジェストなど、大量の非構造化データを処理できるBlob Storageは、大規模なデータ窃盗、破損、またはランサムウェア攻撃を目的とした高度なキャンペーンにとって魅力的な標的となっています。
近年、セキュリティ研究者たちは、設定ミス、漏洩した認証情報、および不十分なアクセス制御を悪用してBlob Storageアカウントを侵害する攻撃が急増していることを報告しています。公開されているコンテナは、DNSおよびHTTPヘッダープロービング、ブルートフォースによるサブドメインの順列、および公開されたエンドポイントをカタログ化する専用のインデクサーを使用して日常的に列挙されています。
攻撃手法と認証情報の悪用
有効なストレージアカウント名またはコンテナURLが発見されると、攻撃者はコードリポジトリ、設定ファイル、およびバージョン履歴を徹底的に調査し、ストレージアカウントキー、共有アクセス署名(SAS)トークン、またはサービスプリンシパル認証情報を探します。これらの認証情報は、多くの場合、完全な読み取り、書き込み、および削除の権限を付与するため、脅威アクターは初期の足がかりを確立し、クラウド環境内で特権を昇格させることができます。
データの窃盗にとどまらず、攻撃者はBlob Storageを悪用して悪意のあるペイロードや偽装されたログインページをホストします。脅威グループは、匿名アクセスが許可されている、または過度に許可されたSASトークンで保護されているコンテナに、マクロ有効ドキュメント、実行可能ファイル、または汚染された機械学習データセットを注入していることが確認されています。これらのリソースをダウンロードした被害者は、Azure Functions、Logic Apps、またはダウンストリームのデータパイプラインを通じて拡散し、サブスクリプションやリソースグループ全体で横方向の移動を引き起こす可能性のあるマルウェアを実行するリスクがあります。
Blob Storage悪用の攻撃チェーン
Azure Blob Storageを悪用する攻撃チェーンは、いくつかの段階に分けられます。
- 偵察(Reconnaissance): GoblobやQuickAZなどのツールがコンテナの列挙を自動化し、AI支援の言語モデルがブルートフォースの成功率を向上させるために、もっともらしいアカウント名やコンテナ名を生成します。
- リソース開発(Resource Development): 攻撃者は、設定ミスのあるID設定を悪用して、悪意のあるオブジェクトを作成したり、フィッシングサイトをホストしたり、トレーニングデータを汚染したりします。
- 初期アクセス(Initial Access): Azure FunctionsやEvent GridサブスクリプションなどのBlobトリガーワークフローを通じて発生することがよくあります。攻撃者が悪意のあるファイルを作成すると、信頼された自動化を乗っ取り、マネージドIDの下で不正なコード実行をトリガーする可能性があります。
- 永続化(Persistence): 期限が延長された広範なSASトークンの作成、匿名アクセスのためのコンテナポリシーの変更、Azure HoundやAADInternalsの悪用により、キーローテーションやパスワードリセットに耐性のあるバックドアが埋め込まれます。
- 回避(Evasion): 攻撃者は、ネットワークルールを操作したり、診断ログを無効にしたり、複数のリージョンにわたってリクエストを分散させたりします。
- 収集とデータ流出(Collection and Exfiltration): AzCopy、Azure Storage Explorer、またはREST APIコールを使用して、大量の機密データを攻撃者の管理下にあるステージングコンテナに転送します。
$webコンテナの静的ウェブサイトホスティングは、秘密のデータ流出経路を提供し、オブジェクトレプリケーションポリシーは、悪意のあるペイロードを信頼された宛先アカウントに伝播させ、サプライチェーン型の攻撃を可能にします。Blobメタデータをコマンド&コントロールチャネルとして巧妙に利用することも、Blob Storage悪用の多様性を示しています。
ゼロトラストと継続的な監視による防御
これらの進化する脅威を認識し、MicrosoftのSecure Future Initiativeは、セキュリティバイデフォルト機能を組み込み、クラウドストレージ向けのMITRE ATT&CK脅威マトリックスを継続的に更新しています。しかし、組織はデータ層を防御するために堅牢なセキュリティベースラインを実装する必要があります。
ベストプラクティスには以下が含まれます。
- Azure Entraのロールベースアクセス制御と属性ベースポリシーを通じて最小特権アクセスを強制する。
- コンテナレベルで匿名アクセスを無効にすることで公開を制限する。
- リソース認証にゼロトラスト原則を適用する。
- プライベートエンドポイント、仮想ネットワークルール、強制的なTLS暗号化などのネットワーク保護により、転送中のデータを保護する。
- サービスサイド暗号化とオプションの二重暗号化により、保存中のデータを保護する。
- 不変性ポリシー、ソフトデリート、およびバージョン管理により、不正な変更から保護し、削除や破損からの迅速な回復を容易にする。
Azure StorageをMicrosoft Defender for Cloudと統合し、Defender for Storageプランを有効にすることで、リアルタイムの脅威インテリジェンス、機密データ検出、および自動マルウェアスキャンが提供されます。Defender for Storageのアラートは、異常なアクセスパターン、データ流出の試み、および悪意のあるファイルのアップロードを、ダウンストリームのワークロードが侵害される前に検出します。
データストレージ層における固有のリスクを理解し、ID、ネットワーク、データ保護、および監視にわたる多層防御を適用することで、組織はBlob Storage攻撃の影響を軽減できます。攻撃者が革新を続ける中、プロアクティブでゼロトラストに基づいた防御体制は、重要なリポジトリを保護し、ビジネスの継続性を維持するために不可欠であり続けるでしょう。