人間以外のID(APIキー、トークン、サービスアカウント、ワークロードIDなど)は、現代のクラウド環境に侵入する最も容易な手段の一つとなっています。これは、攻撃者が突如として天才になったからではなく、組織がますますマシン間の信頼関係に基づいて運営されるようになり、その信頼関係が過度に広範で、長期間にわたり、かつ適切に監視されていないことが原因です。
報告書で強調された新たな分析は、大規模な環境においてよくあるパターンを指摘しています。何千ものコンテナイメージとリポジトリが、本番システムへのアクセスを密かに許可する秘密を誤って公開してしまうのです。問題は、開発者がミスを犯すことがあるというだけではありません。デフォルトのツールとインセンティブによって、それが可能になってしまうのです。簡単秘密を発送し、難しいそうでないことを証明するためです。
これは「目に見えない侵害」の話です。多くの侵害は、エクスプロイトやマルウェアによる大規模な攻撃から始まるわけではありません。不正な認証が行われたトークン(つまり、すべてが正常に見えるトークン)から始まり、それが不正な主体によって使用されていたことに気付くまで、それは続きます。
「非人間的アイデンティティ」とは何か(簡単に言うと)
非人間 ID (NHI) とは、ソフトウェアが信頼できるアクターとして認証できるようにする資格情報です。
- クラウドアクセスキーとセッショントークン
- サービスアカウントとワークロードID
- ビルドパイプラインで使用される CI/CD 認証情報
- SaaSツール(GitHub、GitLab、Slack、監視プラットフォーム)のトークン
- サードパーティ サービス (決済プロバイダー、メール プロバイダー、AI モデル API) の API キー
人間によるログインとの重要な違いは、NHI が通常次のような点です。
- 継続的に実行する
- コードまたは構成に埋め込まれている
- MFAを使用しないことが多い
それが彼らを魅力的にしているのです。
攻撃者が有効なトークンを入手した場合、「侵入」する必要はありません。認証するだけです。
なぜ今悪化しているのか
NHI を「重要」から「主要なリスク」へと押し上げる 3 つの傾向:
1) ソフトウェアサプライチェーンはかつてないほど拡大している
最新のアプリは以下から構成されています。
- コンテナ
- オープンソースの依存関係
- インフラストラクチャ・アズ・コード
- 数十のSaaS統合
統合ごとに別の資格情報が追加されます。
2) 自動化はどこにでもある
組織が求めているのは:
- より速い展開
- セルフサービスインフラストラクチャ
- 一時的な環境
自動化は良いことですが、それは権限を持つ ID によって実現されます。
3) 資格情報はそれを作成した人よりも長く存続する
人間は役割を変えて去っていく。
ただし、リポジトリまたはコンテナ内のトークンでは次のことが可能です。
- 数か月または数年にわたって持続する
- 新しいビルドにコピーされる
- 誰もがその存在を覚えてからずっと有効であり続ける
つまり、攻撃対象領域は静かに拡大していくのです。
現実世界で秘密が漏洩する仕組み(必ずしも「誰かが鍵を盗んだ」だけではない)
開発者がコミットするステレオタイプAWS_SECRET_ACCESS_KEYGitHub へ。
今でもそういうことは起こります。しかし、漏洩の多くは目に見えないものです。
- コンテナレイヤーに焼き付けられたトークン
- ビルド中にイメージにコピーされた設定ファイル
- 秘密を含むデバッグログ
- チャットで共有され、後でコードに貼り付けられる「一時的な」キー
- 誤って設定されたパイプラインによって印刷された CI 変数
コンテナ イメージが特に危険な理由は次のとおりです。
- それらは鏡に映る
- キャッシュされる
- チーム間でコピーされる
リポジトリからキーを削除しても、キーが古いイメージ レイヤーに残ることがあります。
漏洩したトークンが多くのエクスプロイトよりも危険な理由
エクスプロイトは大きな問題です。多くの場合、アラートがトリガーされます。
漏洩したトークンは目立たず、通常の使用方法のように見えることがよくあります。
- 認証成功
- 正しいAPI呼び出し
- 正当なエンドポイント
それによって、防御側の問題は変わります。
「攻撃者」を検出するのではなく、次のものを検出する必要があります。
- 予想外の主要有効な資格情報を使用する
- 珍しい場所から
- 異常な時に
- 異常な行動をする
このため、多くの組織では NHI が検出ギャップとなります。
特権問題:トークンはしばしば強力すぎる
多くの秘密は、「動作させるための近道」として作成されます。
- 幅広いクラウド権限
- 管理者レベルのAPIアクセス
- 長寿命キー
そして、システムが一旦機能すると、人々はそれに触れたくなくなります。
これにより危険な非対称性が生まれます。
- 人間のアカウントにはMFAと監視機能があるかもしれない
- マシンのアイデンティティは広範囲にアクセスできるが、監視はほとんど行われない可能性がある
機械の身元が漏洩すると、爆発半径が大きくなる可能性があります。
優れたNHI戦略とはどのようなものか(具体的な実践)
これは解決可能ですが、NHI を第一級のセキュリティ資産として扱う場合に限られます。
1) 有効期限の短い資格情報を優先する
可能な場合:
- 一時的なセッション資格情報を使用する
- トークンを頻繁にローテーションする
- 「無期限」の鍵を避ける
短命なトークンは漏洩による利益を減らします。
2) 可能な場合は静的キーをワークロードIDに置き換えます
最新のクラウド設定では、多くの場合、次の方法でワークロードを認証できます。
- インスタンスID
- OIDCフェデレーション
- マネージドID
これにより、静的キーを保存する必要性が軽減されます。
3) 環境を厳密に分離する
よくある失敗は、次の場合に同じトークンを使用することです:
- 開発
- ステージング
- 生産
トークンは環境スコープにする必要があります。
開発イメージが漏洩した場合、製品版のロックを解除することはできません。
4) 在庫と所有権
意味のあるトークンには次のものが必要です。
- 所有者
- 目的
- 予想される使用パターン
トークンに所有者がいない場合は、インシデントになるのを待っている技術的負債になります。
5) 人間の行動を監視するようにNHIの行動を監視する
良いシグナルには次のようなものがあります:
- 不可能な旅行 / 珍しい地理
- 異常なAPI呼び出しシーケンス
- データアクセスの急増
- 新しい権限が付与されました
- 新しいトークンが作成された
目標は完璧な検出ではなく、早期検出です。
6) CI/CD を高リスクのアイデンティティファクトリーとして扱う
CI システムでは、次のようなことが頻繁に行われます。
- デプロイメントキー
- 署名鍵
- クラウド資格情報
彼らをロックダウンする:
- 最小権限
- 分離されたランナー
- 秘密のマスキングとログ漏洩の防止
- 本番環境への導入手順に対する厳格な承認
チームが失敗することが多い場所(そしてそれを避ける方法)
「時々鍵をローテーションする」というのは計画ではない
回転が手動で痛みを伴うものであれば、圧力がかかっても回転は起こりません。
ローテーションをルーチン化して自動化します。
強制力のないセキュリティツールは「監視劇場」になる
リポジトリをスキャンして秘密を探すのは便利ですが、それだけでは十分ではありません。
また、次のものも必要です:
- 迅速な取り消し
- 使用状況に関するアラート
- ビルドパイプラインのセキュリティと予防
コンテナレイヤーの罠
シークレットがコンテナのビルド コンテキストに入った場合、次の場所に存在する可能性があると想定します。
- 古い画像
- キャッシュされたレイヤー
- CIアーティファクト
修正方法は「リポジトリキーを削除する」だけではありません。
- 秘密を回転させる
- 画像を再構築して再公開する
- 可能な場合はキャッシュを無効にする
次に見るもの
組織が NHI を改善しているかどうかを追跡したい場合は、次の点に注目してください。
- 短命アイデンティティ(OIDC/ワークロードアイデンティティ)の採用
- 広範囲にわたるトークンローテーションプログラム
- より強力なCI/CD境界制御
- 「有効な資格情報の使用」が主な原因であると認めるインシデントレポート
また、ツール側にも注意してください。最適なツールは、「公開された文字列を検出する」ことから「存在する静的シークレットの数を減らす」ことに移行します。
経済学:攻撃者がトークンハンティングを好む理由
トークン狩猟スケール。
有効な認証情報を 1 つ盗んだ攻撃者は、多くの場合、次のことを行うことができます。
- 複数のシステムにアクセス(クラウド + ソース管理 + CI)
- 多くの組織で同じ技術を再利用する
- 自ら運営したくない場合は、マーケットプレイスでアクセスを販売する
防御側にとって、これは脅威が単なる「私たちを狙うハッカー」ではないことを意味します。それは「再利用可能な認証情報から利益を得る機械経済」なのです。
だからこそ、ここでは対応よりも予防が重要です。鍵が静的な形で存在しなかった場合は、後から入手することはできません。
具体的な検出アイデア(何を警告するか)
NHI の検出を構築する場合は、マジックキーワードではなく動作の変化に焦点を当てます。
高信号の例:
- サービスアカウントは、新しい国/ASNこれまで一度も使用したことがありませんでした。
- 通常は 1 つの API のみを呼び出すトークンが、突然リソースを列挙したり、大量のダウンロードを行ったりします。
- 通常のリリース期間外でアクションを実行する CI ID。
- サーバー ワークロードのみを対象としている場合に、対話型ユーザー エンドポイントから使用されるシークレット。
基本的な異常アラートでも、「静かな認証情報の盗難」パターンを早期に検出できます。
コンクリート強化のアイデア(少ない労力で大きな効果)
これらは、大規模な再設計を行わなくてもほとんどのチームが実行できる実用的な変更です。
- トークンのスコープを縮小する: 1 つの広い範囲のトークンを、範囲が狭い複数のトークンに分割します。
- スケジュールに従ってローテーションする: 何も「問題」がないときでも回転するため、回転が筋肉の記憶になります。
- ゲート生産: 本番環境のデプロイ ID には明示的な承認が必要です。
- ビルドでプレーンテキストの秘密をブロックする: 明らかな秘密のパターンが現れた場合、CI はビルドを失敗させる必要があります。
漏れがまだ発生している場合でも、各移動により爆発半径が縮小されます。
多くの苦痛を防ぐシンプルな社内ポリシー
より良い行動を強制するポリシーを 1 つ望むなら、それは次のとおりです。
- 開発者のラップトップまたはコンテナ ビルド コンテキストには、本番環境で使用できるシークレットはありません。
このルールは次のような変化をもたらします。
- サービスのワークロードID
- 開発用のステージング資格情報
- 実稼働展開手順の明示的な承認
最初は面倒ですが、最も簡単な漏れ経路を遮断します。
結論
人間以外のアイデンティティは現代の自動化のバックボーンであり、人間向けに構築された保護を回避することが多いため、侵害の主な原因にもなります。
実用的なしきい値が必要な場合は、「長期間有効なトークンはどこに保存され、誰が所有し、どのくらい迅速に失効/ローテーションできるか」に答えることができれば、希望的観測から実際の防御プログラムに移行したことになります。
現実的な解決策は、魔法のスキャナ1つではありません。静的な秘密情報を最小限に抑え、権限を縮小し、ローテーションルーチンを作成し、ユーザーアカウントを監視するのと同じようにマシンのIDを監視するプログラムです。
日本語
English
العربية
Čeština
Dansk
Nederlands
Eesti
Suomi
Français
Deutsch
Ελληνικά
Magyar
Italiano
한국어
Latviešu valoda
Lietuvių kalba
Norsk bokmål
Polski
Português
Română
Русский
Slovenčina
Slovenščina
Español
Svenska
Türkçe