KiranaProの侵害：クラウド脅威モニタリングへの警鐘

KiranaProの侵害：クラウド脅威モニタリングへの警鐘

インドの食料品配達スタートアップであるKiranaProで発生した侵害は、「クラウドプロバイダーの制御だけで十分である」という広く見られる誤解を浮き彫りにしています。攻撃者は元従業員のアカウントを通じてアクセス権を取得した後、KiranaProのAWSおよびGitHubインフラ全体を削除し、コード、データ、業務運用を消失させました。このインシデントは、組織がSaaSおよびIaaS環境を監視する方法に危険なギャップがあることを示しています。

KiranaProインシデントの詳細

2025年5月26日、元従業員の認証情報を悪用した攻撃者により、KiranaProのクラウドインフラ全体が消去されました。同社は多要素認証を含む標準的なセキュリティ対策を導入していたにもかかわらず、攻撃者はこれらの保護策を回避しました。被害には、機密性の高い顧客データ、運用コード、重要なクラウドリソースの削除が含まれていました。根本的な問題はAWSやGitHubの脆弱性ではなく、KiranaPro自身のセキュリティ運用上の不備、具体的には不十分なユーザーアクセス管理と、異常なアクティビティに対するプロアクティブな監視の欠如にありました。

クラウドプロバイダーは利用者のアカウントを監視しているわけではない

多くの組織は、クラウドプロバイダーが包括的なセキュリティを担っていると誤解しています。実際には、クラウドプロバイダーは「責任共有モデル」を採用しています。つまり、プロバイダーは基盤となるインフラを保護し、顧客は自社のデータ、アカウント、アクセスポリシーを保護します。KiranaProの侵害は、この責任共有における自社側の責任を誤解したり軽視したりした場合に、組織が直面するリスクを明確に示しています。

SaaSおよびIaaSプロバイダーの組み込みセキュリティツールは強力ですが、通常は静的な防御や設定チェックに重点を置いています。認証情報の不正利用や不正なアカウントアクティビティなど、KiranaProの侵害の中核となった問題のようなリアルタイムの脅威を検知することは、ほとんどありません。

脅威は内部関係者だけではない

内部脅威（元従業員や不満を持つ従業員など）は重大なリスクをもたらしますが、プロアクティブな脅威モニタリングは、複数の攻撃ベクトル全体で不可欠です。外部攻撃者は、窃取された認証情報、フィッシング攻撃、設定ミス、脆弱なAPIセキュリティを頻繁に悪用します。組織は、脅威が複数の方向から同時に発生することを認識しなければなりません。

プロアクティブな脅威モニタリングでは、クラウドアクティビティをリアルタイムで継続的に分析し、予期しない場所からのログイン、突発的な権限変更、異常なデータ削除などの異常を検出します。そして、脅威を封じ込めるために即時の自動アクションを実行します。一部の組織では、これらのパターンを検知するためにSIEMルールを使用しています。一方で、SaaSおよびIaaS環境全体を対象に、すぐに利用できる監視機能を提供するプラットフォームを採用する組織もあります。

KiranaProから得られる実践的な教訓

KiranaProの侵害は、クラウドセキュリティにおける継続的な警戒の重要性を示しています。組織は受動的な姿勢を取る余裕はありません。

• 厳格なアクセス制御：重要システムへのアクセスは、最小権限の原則に従い、本当に必要なユーザーのみに制限する必要があります。過剰な権限を持つアカウントは、侵害や不正利用が発生した場合の影響を拡大させます。特権操作の範囲は厳密に限定し、管理者アクセスは必要な場合にのみ付与し、使用していない場合は取り消す必要があります。
• 永続的なIAM認証情報を避ける：長期間有効な認証情報、特に特権IAMユーザーやルートアカウント用の認証情報は、継続的なリスクを生み出します。代わりに、IDフェデレーション（SSOを使用したIAMロールなど）やJust-in-Timeアクセスを通じて発行される、短期間のみ有効で自動的にローテーションされる認証情報を使用します。このアプローチにより、露出リスクを低減し、監査性を高め、大規模なアクセス管理を容易にできます。
• 体系的なオフボーディング：元従業員に関連付けられたIAMユーザーアカウントや長期認証情報は、直ちに失効させる必要があります。ただし、これらの認証情報を単に削除すると本番システムに影響を与える可能性があるため、事前にその使用状況を把握することが重要です。そのため、安全なオフボーディングには、認証情報の実際の使用状況を可視化し、依存関係をマッピングすることが不可欠です。
• CIシステムによる変更管理：本番環境へのすべての変更は、必須承認を伴う管理されたCI/CDパイプラインを通じて実施する必要があります。この規律により、貴重な監視レイヤーが追加され、大量削除のような破壊的な操作を検知または防止できた可能性があります。理想的に聞こえるかもしれませんが、成熟したクラウドチームが目指すべき実証済みの保護策です。
• ディザスタリカバリとバックアップ：侵害を完全に免れるシステムはありません。Infrastructure as Codeテンプレートや、テスト済みで復元可能なバックアップを含むディザスタリカバリ計画を備えているかどうかが、ダウンタイムで済むか、完全停止に至るかの分かれ目になります。KiranaProがインフラを迅速に復旧できなかったことは、レジリエンス計画に大きなギャップがあったことを示唆しています。
• プロアクティブモニタリング：能動的な脅威モニタリングソリューションを導入することで、システムアクティビティをリアルタイムで可視化し、潜在的な脅威を迅速に検知・軽減できます。

現場から得られた追加のベストプラクティス

以前のブログ「クラウドセキュリティギャップの解消：脅威モニタリングの実践ユースケース」では、一般的なクラウドセキュリティのアンチパターンを取り上げ、新たな脅威を継続的に監視、検知し、効果的に対応するための実践的なガイダンスを提示しました。

取り上げたユースケースの1つでは、あるデバイス製造会社が、複数の拠点からアクセスされる長期認証情報を持つ単一のIAMユーザーに依存していました。この構成では、さまざまなオペレーティングシステムや環境からアクセスされるため、リスクが増幅していました。この種のリスクを軽減するために、ベストプラクティスに関するブログでは、以下の追加推奨事項を紹介しています。

• IP許可リスト：各拠点のIPアドレスの許可リストを定義し、適用します。
• リソースアクセスモニタリング：IAMユーザーがどのリソースにアクセスしているかを継続的に監視し、ログに記録します。
• ユーザーエージェントとデバイスの検証：事前に定義されたユーザーエージェントのみを識別して許可し、異常をフラグ付けします。

これらの対策は、KiranaProが経験したようなクラウド侵害の防止にも適用できます。

結論

KiranaProの侵害は、クラウドセキュリティには継続的かつ能動的な警戒が必要であることを思い起こさせるものです。組織は、プロバイダー標準のツールだけに依存する状態から脱却し、継続的な脅威モニタリングを基盤となるセキュリティプラクティスとして採用する必要があります。自社のセキュリティ責任を明確に理解し、強固なアクセスガバナンスを実装し、クラウドアクティビティをプロアクティブに監視することで、企業は侵害に対する脆弱性を大幅に低減し、運用レジリエンスを維持できます。

クラウドスタック全体でリアルタイムの可視性を構築する支援が必要ですか？エクサフォースは、AWS IaaS、GCP IaaS、GitHub、Okta、AWS Bedrock、Google WorkspaceなどのIaaSおよびSaaS環境全体にわたって、AI駆動の脅威モニタリングを提供します。これにより、ルールを作成・維持することなく、クラウドサービスに対する脅威カバレッジを拡張できます。デモをリクエストするには、お問い合わせください。