KiranaProの侵害:クラウド脅威監視への警鐘を鳴らす
インドの食料品配達スタートアップ企業であるKiranaProでの侵害は、クラウドプロバイダーの管理だけで十分だという誤解が広がっていることを浮き彫りにしています。攻撃者は元従業員のアカウントからアクセスを得た後、KiranaPro の AWS と GitHub のインフラストラクチャ全体を削除し、コード、データ、運用を一掃しました。この事件は、組織が SaaS と IaaS 環境を監視する方法における危険なギャップを浮き彫りにしました。
キラナ・プロ事件の詳細
2025年5月26日、KiranaProのクラウドインフラストラクチャ全体が、元従業員の認証情報を悪用したハッカーによって一掃されました。スタートアップ企業が多要素認証を含む標準的なセキュリティ対策を採用していたにもかかわらず、攻撃者はこれらの保護手段をなんとか回避しました。被害には、機密性の高い顧客データ、運用コード、重要なクラウドリソースの削除などが含まれます。根本的な問題は AWS や GitHub の弱点ではなく、むしろ KiranaPro 自身のセキュリティ慣行の欠如、具体的にはユーザーアクセス管理が不十分だったことと、異常なアクティビティに対する積極的な監視の欠如でした。
クラウドプロバイダーはアカウントを監視していません
多くの組織は、クラウドプロバイダーが包括的なセキュリティを扱っていると誤解しています。実際には、クラウドプロバイダーは「責任分担モデル」を採用しています。つまり、プロバイダーは基盤となるインフラストラクチャを保護し、顧客はデータ、アカウント、アクセスポリシーを保護します。KiranaPro の違反は、組織がこの責任分担について自分たちの側を誤解したり無視したりした場合に直面するリスクを鮮明に示しています。
SaaSおよびIaaSプロバイダーの組み込みセキュリティツールは堅牢ですが、通常は静的防御と構成チェックに重点を置いています。滅多にありません。 脅威をリアルタイムで検知 認証情報の悪用や不正なアカウントアクティビティなど、KiranaPro の侵害の中心となる問題です。
脅威は内部者だけではない
内部関係者の脅威(元従業員や不満を抱いている従業員など)は重大なリスクをもたらしますが、複数の攻撃ベクトルにわたって積極的な脅威監視が不可欠です。外部の攻撃者は、盗んだ認証情報、フィッシング攻撃、設定ミス、脆弱な API セキュリティを頻繁に悪用します。組織は、脅威は複数の方向から同時にやってくるということを認識しなければなりません。
プロアクティブな脅威モニタリングでは、クラウドアクティビティをリアルタイムで継続的に分析して、予期しない場所からのログイン、突然の権限変更、異常なデータ削除などの異常を発見し、脅威を封じ込めるための即時の自動アクションを実行する必要があります。一部の組織では、SIEM ルールを使用してこれらのパターンを検出しています。また、SaaS 環境と IaaS 環境全体ですぐに監視できるプラットフォームを採用している企業もあります。
キラナ・プロからの実践的教訓
KiranaProの侵害は、クラウドセキュリティにおける継続的な警戒の重要性を浮き彫りにしています。組織は受動的な姿勢をとるわけにはいきません。
- 厳格なアクセス制御: 重要なシステムへのアクセスは、最小権限の原則に従い、絶対に必要なユーザーのみに制限する必要があります。権限が多すぎるアカウントは、侵害や悪用の影響を大きくします。特権アクションは厳密に範囲を限定し、管理アクセスは必要な場合にのみ許可し、使用しない場合は取り消すべきです。
- 永続的な IAM 認証情報は避けてください。 長期間有効な認証情報 (特に特権 IAM ユーザーまたは root アカウント用)永続的なリスクを生み出す。代わりに、ID フェデレーション (SSO を使用する IAM ロールなど) またはジャストインタイムアクセスを介して発行された、有効期間が短く、自動的にローテーションされる認証情報を使用してください。このアプローチにより、リスクが軽減され、監査性が向上し、大規模なアクセス管理が容易になります。
- 体系的なオフボーディング: 元従業員に関連する IAM ユーザーアカウントまたは長期認証情報は、直ちに取り消す必要があります。ただし、これらの認証情報を削除するだけでは、本番システムが機能しなくなる可能性があるため、その使用方法を事前に理解しておくことが重要です。そのため、安全なオフボーディングには、認証情報の実際の使用状況を把握し、依存関係をマッピングすることが不可欠です。
- CI システムによる変更管理: 本番環境へのすべての変更は、必須の承認を得た管理されたCI/CDパイプラインを通じて実施する必要があります。この規律によって監視の貴重な層が増え、一括削除のような破壊的な行為を検知または防止できたはずです。理想的ではありますが、成熟したクラウドチームが目指すべき実証済みの保護手段です。
- ディザスタリカバリとバックアップ: どのシステムも侵害の影響を受けません。Infrastructure-as-Codeテンプレートとテスト済みで復元可能なバックアップを含むディザスタリカバリ計画を策定することが、ダウンタイムと完全なシャットダウンの分かれ目になります。KiranaPro がインフラストラクチャを迅速に復旧できないことは、レジリエンス計画に大きなギャップがあることを示唆しています。
- プロアクティブモニタリング: アクティブな脅威監視ソリューションに投資することで、システムアクティビティをリアルタイムで可視化できるようになり、潜在的なセキュリティ脅威を迅速に検出して軽減する機能が大幅に向上します。
現場でのその他のベスト・プラクティス
前回のブログでは、 「クラウドセキュリティギャップの解消:脅威監視の実際のユースケース,」 一般的なクラウドセキュリティのアンチパターンを調査し、新たな脅威を継続的に監視、検出、効果的に対応するための実用的なガイダンスを提供しました。
注目すべきユースケースの1つは、デバイス製造会社が、複数の場所からアクセスされる長期認証情報を持つ1人のIAMユーザーに依存していることです。このような設定は、オペレーティングシステムや環境が多様であるためにリスクを増幅させました。この種のリスクを軽減するために、ベストプラクティスブログには他にも次のような推奨事項があります。
- IP 許可リスト: 各ロケーションのIPアドレスの許可リストを定義して適用します。
- リソースアクセス監視: IAM ユーザーがアクセスするリソースを継続的に監視し、ログに記録します。
- ユーザーエージェントとデバイスの検証: 定義済みのユーザーエージェントのみを識別して許可し、異常を報告します。
これらの対策は、KiranaProが経験したようなクラウド侵害の防止にも適用されます。
結論
KiranaProの侵害は、クラウドセキュリティには継続的かつ積極的な警戒が必要であることを思い出させるものです。組織は、プロバイダー固有のツールだけに頼るのではなく、継続的な脅威監視を基本的なセキュリティプラクティスとして採用する必要があります。自社のセキュリティ責任を明確に理解し、強固なアクセスガバナンスを導入し、クラウド活動を積極的に監視することで、企業は侵害に対する脆弱性を大幅に減らし、運用上の回復力を維持することができます。
クラウドスタック全体のリアルタイムの可視性を構築するための支援が必要ですか?Exaforceは、AWS IaaS、GCP IaaS、Github、Okta、AWS Bedrock、Google WorkspaceなどのIaaSおよびSaaS環境全体でAI主導の脅威モニタリングを提供します。これにより、ルールを作成したり管理したりしなくても、脅威の対象範囲をクラウドサービスに拡大できます。 お問い合わせ デモをリクエストしてください。
