NHI6:2025 安全でないクラウドデプロイメントの設定 (Insecure Cloud Deployment Configurations)

脅威エージェントと攻撃ベクトル
セキュリティ上の弱点
影響度

悪用可能性: 普通

蔓延度: 普通 検出可能性: 容易

技術的影響: 重大 ビジネスへの影響: 限定

一般的に、誤って設定されたパイプラインは組織の範囲内でセットアップされているため、発見するのは困難です。しかし、脅威アクターがシンプルな読み取りアクセスを獲得すると、比較的簡単に環境を偵察し、脆弱な設定を発見できます。

CI/CD パイプラインの管理におけるリスクが認識されるようになり、その結果、多くの CI/CD プロバイダが OIDC ベースのアクセスをサポートし、ユーザーにそれを使用するよう促しています。しかし、多くの組織は依然としてキャッチアップする必要があり、ハードコードされたクレデンシャルや安全でない OIDC ベースの認証を使用しています。 CI/CD の設定ミスは組織の「本拠地」で発生するため、簡単に検索できます。さらに、現在知られている設定ミスは詳細に文書化されています。

CI/CD の設定ミスの侵害に成功すると、ほとんどのパイプラインには高い権限のアクセスが付与されているため、サプライチェーン攻撃や環境への不正アクセスにつながる可能性があります。

説明

継続的インテグレーションと継続的デプロイメント (CI/CD) アプリケーションにより、開発者はコードのビルド、テスト、本番環境へのデプロイのプロセスを自動化できます。これらの統合は、多くの場合、CI/CD パイプラインがクラウドサービスで認証する必要があり、一般的に静的クレデンシャルを持つ専用のサービスアカウントか、統合アイデンティティ管理のための OpenID Connect (OIDC) のいずれかを使用して実現します。

CI/CD パイプラインで静的クレデンシャルを持つ専用サービスアカウントを使用することは、安全でないと考えられています。静的クレデンシャルは、コードリポジトリ、ログ、設定ファイルを通して意図せず公開される可能性があります。漏洩した場合、これらのクレデンシャルは、多要素認証 (MFA) やその他のセキュリティ対策をバイパスして、本番環境への永続的かつ潜在的に特権的なアクセスを攻撃者に提供する可能性があります。

OIDC は CI/CD パイプラインが認証用に有効期間が短く動的に生成されるトークンを取得できるようにすることで、より安全な代替手段を提供します。しかし、OIDC セットアップの設定ミスによって脆弱性をもたらす可能性があります。アイデンティティトークンが適切に検証されていない場合や、トークンクレーム (sub (subject) クレームなど) に厳密な条件がない場合、権限のないユーザーがこれらの脆弱性を悪用してクラウドリソースにアクセスするかもしれません。

CI/CD 統合の適切な設定と管理は本番環境のセキュリティを維持するために不可欠です。これには、最小権限の原則を適用すること、堅牢なクレデンシャル管理プラクティスを実施すること、および OIDC トークンが適切に検証され、認可されたエンティティに制限されることを確保することを含みます。

攻撃シナリオの例

  • OIDC Trust Relationships の設定が不適切な AWS IAM ロール: AssumeRoleWithWebIdentity を介して OIDC アクセスを許可する AWS ロールは、sub クレームを適切に制限せずに GibHub や GitLab などのパブリック OIDC プロバイダを信頼すると、設定が不適切になる可能性があります。この制限がないと、これらのプラットフォーム上のすべてのユーザーがロールを引き継ぐ可能性があり、AWS リソースへの不正アクセスにつながります。

  • ハードコードされている Azure サービスプリンシパルのクレデンシャル: GitHub Action 内で使用することを意図した Azure サービスプリンシパルは、そのクレデンシャルがパイプラインの設定ファイルにハードコードされているかもしれません。これらのファイルがパブリックアクセス可能なリポジトリに保存されていたり、その他の方法で公開されている場合、攻撃者はそのクレデンシャルを入手してサービスプリンシパルとして認証し、関連するパーミッションで Azure リソースにアクセスできます。

防御方法

  • 安全な認証には OIDC を使用する

    • OIDC を使用して、静的クレデンシャルを有効期間が短く動的に生成されるトークンに置き換えます。

    • 発行者、利用者、クレームなど、トークンを厳密に検証します。

  • 最小権限を適用する

    • CI/CD パイプラインのパーミッションを必要なものだけに制限します。

    • IAM ロールと OIDC 設定における信頼関係を制限します。

  • ハードコードされたクレデンシャルを避ける

    • AWS Secrets Manager, Azure Key Vault, HashiCorp Vault などのツールで、シークレットを安全に保存します。

    • リポジトリと設定を定期的にスキャンして、公開されたクレデンシャルを探します。

参考情報

データポイント

  • CSA NHI Report - 32% の場合に設定エラーを NHI 関連のセキュリティインシデントの原因に挙げています。 (4/10)

PreviousNHI5:2025 過剰特権の NHI (Overprivileged NHI)NextNHI7:2025 長期間有効なシークレット (Long-Lived Secrets)

Last updated