SCAN DISPATCH :国際セキュリティ会議で発表された AmazonとMobileMeの攻撃手法 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.02.23(金)

SCAN DISPATCH :国際セキュリティ会議で発表された AmazonとMobileMeの攻撃手法

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 前回、AmazonのEC2とEBSベースのコード・ホスティング・サービスのBitbucketが、DDoS攻撃を受けてダウンした事例を報告した。その後、DDoSはUDPパケットのfloodであったことが分かり、なぜEBSがDDoSに堕ちるのか、といった疑問の声が多く聞かれた。

SCAN DISPATCH :Amazon EC2へDDoS攻撃、クラウドの弱点が浮き彫り
https://www.netsecurity.ne.jp/2_14112.html

 その理由がその後判明している。クラウドが全般的にブラックボックスの形態をとっており、EC2を使っている顧客も、DDoSなどのトラフィックを実際に見ることができないことがその理由の一つ。Amazonは今後ネットトラフィックの情報を顧客に公開できるようにするとBitbucketに約束しており、また、Elastic Load Balancing and Auto-Scalingなどのサービスを購入すれば、今回のような攻撃は事前に防げた。が、もう一つの問題は、EBSが、なんと、外向けのネットワークインターフェースに位置しているということだ。

 AmazonのEC2は、今年開催された国際的なセキュリティ専門家会議 Black Hat USAの、Haroon Meer氏、 Nick Arvanitis氏、Marco Slaviero氏の3名の研究者による「Clobbering the Cloud!」という講演でもその問題点が指摘されていた。筆者とのメールインタビューでMeer氏は、「我々のプレゼンでも、万が一こうした問題に遭遇した場合、顧客はクラウド・プロバイダの慈悲にすがるほかないということを指摘している」と答えているが、BitbucketのDDoS事件がなければ、EBSが外向けのネットワークインターフェースに位置しているということも発見されなかったのも確かだ。

 「Clobbering the Cloud!」のプレゼンでは、Amazon.com、salseforce.com、MobileMe、SugarSyncの弱点が多数発表されていた。本稿では、Amazon.comとMobileMeの攻撃手法を紹介する。

 EC2は、インフラ兼サービスのクラウドで、顧客はAmazon Machine Instance (AMI) というバーチャル・マシンをブートすることができる。顧客は独自にAMIを構築することもできるが、すでに構築されているAMIをリストから選択することもでき、ほとんどのAMIは、他のEC2の顧客により提供されている。サインアップなどのプロセスはWebインターフェースで行い、AMIのリースは、課金サービスのAmazon DevPayで行われている。

 さて、3人の研究者がまず発見した弱点は、このサインアップのプロセスにある。キャプチャが使用されていなかったため、スクリプトを使って多数のアカウントを作りそれぞれのアカウントを使って多数のAMIのインスタンスをブートするDoS攻撃、AMIBombが可能だったのだ。(Amazonはその後、サインアップにキャプチャを使用するようになっている)。3氏は3分間で20アカウントを作り、それぞれのアカウントが20アカウントを3分間で作れるため、9世代(30分以内)には、全部で7,900億ものAMIを走らせることができると発表した。このプロセスを繰り返せば、遅かれ早かれシステムがダウンすること間違いない。

 もう一つ3氏が行ったのが、悪意のあるAMIをリストして、それと知らない他の顧客に使用させることだ。悪意のあるAMIを作ってリストにアップするのは簡単だが、問題はそのランキングである。AMIのリストは、イメージが作られた時にランダムに与えられるAMI IDストリングの順番でリストされている。AMI IDが小さいほどランキングが高く、最初の方のページにリストされる。

 そこで3氏は、AMIを続々登録するスクリプトを作り、次に最初のページに登録されるほど小さなAMI IDが与えられるかををチェックした。12時間で4,000の登録を行い、上位5台、それも、Fedoraのマシンとしてはトップに登録されるAMIのイメージを確保することができている。

 このテストに使われたイメージは実際には悪意のあるものでなく、単に「/etc/rc.local」に、イメージがブートされたかどうかを知らせるラインが入っているだけだったが、実際にAMIが公開されて4時間以内に、3氏のテスト用AMIが実際にブートされたのが確認されている。この悪意のあるイメージの問題は、Amazonだけに限ったことではないのは明らかだ。

 そしてEC2への攻撃の3つ目は、AMIを無料で使用する攻撃。AMIの作成時に、Amazonはそのマシンの所有者などの情報をXMLドキュメントのマニフェストに保存する。そのために3氏は、以下のようなプロセスで、AMIの盗難攻撃を行った…

【執筆:米国 笠原利香】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×