開発生産性の脅威ともなる、コンテナ・サーバレス環境の脆弱性
日本においても、いずれは欧米と同様にコンテナやサーバレスの環境が利用されるようになるだろう。そのため、これからコンテナやサーバレス環境を開発する人、あるいはサーバレス環境でアプリケーションを開発する人にこそ「今のうちにセキュリティを意識しておいてほしい」と福田氏。それが、セキュリティの専門家であるトレンドマイクロが開発者向けのDevelopers Summitで話をする理由だと言う。
ところで、サーバレス環境のセキュリティは誰が責任を持つべきなのか。トレンドマイクロの調査によると、この問いに対して、ITオペレーション担当者だとの回答が34%と高いが、DevOpsおよびアプリケーションの開発者だとの回答も16%ある。今後は、アプリケーションを開発する中でセキュリティを検討するケースがより増えていくだろうと福田氏は予測する。
一般論として、コンテナ環境の構成で起こる被害パターンとしてどのようなものがあるだろうか。1つが攻撃者によりパブリックなレポジトリに悪意のあるコンテナイメージが登録され、それを取得し展開したサイトで、攻撃者がそれを利用するケースがある。またはユーザーのレジストリに不正侵入され、悪意のあるイメージを登録されるケースもあるだろう。
コンテナイメージのスキャン機能を搭載したクラウドベンダーもあるが、「脆弱性発覚のタイミングの問題や不正プログラム対策機能の有無などによって見逃してしまい、悪意のあるイメージがデプロイされ、ファイル実行がされることも起こり得ます」と福田氏。このような流れの攻撃は、トレンドマイクロでも既に観測している。その例として仮想通貨を発掘する不正なDockerコンテナ、コンテナ経由でホスト侵害するコンテナエスケープの例が示された。
さらに攻撃の様子が、デモでも紹介された。攻撃者が脆弱性のあるサイトにアクセスし、コマンドを実行してサイトがLinux、Kubernetesで動いていることを確認。wgetコマンドでkube-controller-managerをダウンロードし、それを使い権限を付与して攻撃者がPodを作れる状況や、侵入したPodからホストの制御ができ、ランサムウェアによってファイルが暗号化される様子までもが紹介された。これらは、Kubernetes環境に不要な権限が付与されていることで攻撃を許している例だ。
多くのコンテナ環境にはKubernetesという特有の環境があり、それがうまく設定されていないために悪用されることがある。結果的にホストごと乗っ取られ攻撃者に操作されてしまう。こういったコンテナ環境の脅威があることを、開発者もしっかり認識してほしいと言う。
さらに福田氏は、AWS LambdaなどのFaaS(Function as a Service)環境の脅威も説明した。クラウドサービスの利用では、責任共有モデルという考え方があり、FaaSではアプリケーションとデータは顧客側が守る必要がある。FaaSで動くアプリケーションに脆弱性がないか、そこで取り扱うデータの正確性に関する責任はユーザーにあるのだ。
FaaS環境の脅威の原因は、インジェクション攻撃が多い。アプリケーションの脆弱性を利用したインジェクション攻撃で、不正アクセスが起きないようにする必要がある。福田氏は、FaaS環境が攻撃される様子についてもデモで紹介した。Amazon API Gateway、AWS Lambdaで動いているWebサーバがあり、Amazon Simple Storage Service(以下、Amazon S3)がバックエンドにある構成で、アプリケーションの不備を利用してクレデンシャルを奪い、それを使って権限昇格を行いAmazon S3の機密情報を抜き出すものだ。
AWS Lambdaで提供されている脆弱性のあるWebサイトのURIに、特定の文字列を入れるとAWS Lambdaの情報が見られる。さらにAWS Lambdaの環境変数を見るスクリプトを入れると、クレデンシャルの情報も見られてしまう。それを使い管理者権限を付与すれば、Amazon S3に入っている情報も見られるようになるのだ。これには、従来のソフトウェアをサーバにインストールしてサーバごと守る方法は通用しない。責任共有モデルに則り、利用者はサーバレイヤにソフトウェアをインストールできないからだ。サーバレス環境では、セキュリティもサーバレスに即した対策を行く必要がある。それを開発者も認識してほしいと福田氏は言う。
コンテナやサーバレスを使うのは、DevOpsやアジャイル開発で迅速なアプリケーション開発を実現するためだろう。素早く開発しても、デプロイ段階で脆弱性が見つかれば、開発に後戻りして対策するしかない。結果的に速く開発する目的は達成できない。これを福田氏は即席麺の作り方で説明した。
カップのかき揚げうどんであれば、先にかき揚げを取り出し後から載せてうどんを完成させる。しかしきつねうどんの場合は、蓋を開けてすぐにお湯を入れる。「かき揚げうどんは後載せだからサクサク、一方きつねは先入れし、それによりしっとり食べられる。IaaS中心のクラウド環境はかき揚げうどん方式で、セキュリティの後載せでうまく回っていたケースもあります。サーバレスではこれだとうまくいきません。後載せではセキュリティのせいで開発、設計のし直しが発生しかねません」と福田氏。サーバレスでは、シフトレフトでなるべく前段階でセキュリティを組み込み、セキュリティ対策がサーバレスのメリットを阻害しないよう設計すべきだと説明する。
責任共有モデルによりコンテナ、FaaSでは、IaaSとはセキュリティが実装できるレイヤが異なる。そのためアプリケーションレイヤでのセキュリティ実装が必要であり、開発パイプラインにセキュリティを組み込むDevSecOpsの取り組みが重要となる。
