ドイツの研究者らは、Amazon のクラウド コンピューティング サービスにおいて、顧客がセキュリティに関するヒントを無視したり忘れたりしたことが原因で、多数のセキュリティ上の問題を発見した。
Amazonは、Webサービス部門を通じて、自社のインフラストラクチャを活用したコンピューティング能力とストレージを提供しています。この柔軟なプラットフォームにより、ユーザーは迅速にサービスを展開し、ニーズに応じてアップグレードまたはダウングレードすることができます。
ダルムシュタット工科大学システムセキュリティ研究所の博士研究員トーマス・シュナイダー氏は月曜日、アマゾンのウェブサービスは非常に使いやすいため、多くの人がセキュリティガイドラインに従わずに仮想マシンを作成していると語った。
「これらのガイドラインは非常に詳細です」と彼は言った。
研究者らは、最も重要な発見と称するもので、Elastic Compute Cloud (EC2) や Simple Storage Service (S3) などのサービスで認証するために使用される秘密鍵が、仮想マシンを作成するために使用される事前構成されたオペレーティングシステムとアプリケーションソフトウェアである Amazon Machine Images (AMI) で公開されていることを発見した。
これらのキーはそこに存在すべきではありません。「彼ら(顧客)は、公開前にマシンからAPIキーを削除するのを忘れただけです」とシュナイダー氏は言います。
しかし、その結果は高くつく可能性がある。研究者らによると、侵入者はこれらのキーを使用して顧客のキーでEC2またはS3上でサービスを開始し、「キー所有者の費用で1日あたり数千ドル相当の仮想インフラストラクチャ」を作成できるという。
研究者らは約 1,100 個の AMI を調査し、別の共通の問題を発見しました。それらの AMI の 3 分の 1 に SSH (Secure Shell) ホスト キーまたはユーザー キーが含まれていました。
SSHは仮想マシンへのログインと管理によく使われるツールです。しかし、ホストキーを削除して置き換えない限り、そのイメージから派生した他のすべてのインスタンスで同じキーが使用されることになります。これは、インスタンスのなりすましやフィッシング攻撃など、深刻なセキュリティ問題を引き起こす可能性があります。
一部のAMIには、ルート権限ログイン用のSSHユーザーキーも含まれていました。「そのため、インスタンスのユーザーがこのバックドアに気づいて手動で閉じない限り、対応するSSHキーの所有者は、これらのイメージから派生したインスタンスにスーパーユーザー権限でログインできます」と、この調査に関する技術データシートには記されています。
公開されたAMIで見つかったその他のデータには、有効なSSL(セキュア・ソケット・レイヤー)証明書とその秘密鍵、未公開のソフトウェア製品のソースコード、パスワード、写真やメモなどの個人情報が含まれていたという。
シュナイダー氏によると、クレジットカードを持っている人なら誰でもAmazon Web Servicesにアクセスでき、研究者が分析した公開AMIを閲覧できるという。問題が明らかになった後、シュナイダー氏は4月末にAmazon Web Servicesに連絡したと述べた。研究者によると、Amazonはアカウント保有者にセキュリティ問題を通知するというプロフェッショナルな対応をとったという。
この研究は、クラウドコンピューティングのセキュリティを研究するドイツのダルムシュタットにあるダルムシュタット先端セキュリティ研究センター(CASED)とフラウンホーファー情報技術セキュリティ研究所(SIT)によって実施されました。このプロジェクトの一部は、欧州連合(EU)の「信頼できるクラウド」(TClouds)プログラムにも含まれていました。
ニュースのヒントやコメントは[email protected]までお送りください。
