ゼロデイ不在で起きた大規模情報流出
2019年に報じられたCapital One事件では、推定1億1000万人分の個人情報が流出した。注目点は、攻撃がゼロデイ脆弱性やアプリの致命的バグに依存していなかったことだ。クラウド上の防御はコード品質だけでは完結せず、WAFやIAMなど「設定」と「信頼モデル」の破綻が被害を拡大させる。
情シスが重視すべきは「どこに脆弱性があるか」だけではない。攻撃者は、運用上の前提(Assumption)が置かれた境界を見抜き、最も弱い前提を突く。WAFが防御の要である一方、誤設定が単一障害点になり得る点を直視すべきである。
WAF設定ミスが攻撃面になる理由
WAFはWebアクセスを検証する中核レイヤーであり、ここに盲点があると「正規の経路に見える不正」が成立する。典型はリバースプロキシ設定の不備で、外部からの到達範囲が想定より広がることだ。結果として、内部向けのエンドポイントや管理系サービスへの踏み台になる。
本件では、WAFがオープンプロキシ的に振る舞い、SSRFでクラウドのメタデータサービスへ到達できたとされる。メタデータ経由で認証情報が取得されると、以降は「正規権限によるアクセス」に変わり検知も難しくなる。さらにWAFに過剰なIAM権限が付与されていれば、侵害後の横展開とデータ取得が加速する。
情シスが押さえるべき再発防止の要点
対策の主戦場はアプリ改修だけでなく、WAF/IAM/クラウド設定の継続管理である。まずWAFがオープンプロキシ化していないか、許可する宛先・ヘッダ・メソッドを含めて点検する。次にIAMは最小権限を徹底し、WAFや中継系コンポーネントにストレージ閲覧など不要な権限を与えない。
加えて、メタデータサービスへのアクセス制限(不要なら無効化、必要なら到達制御)を前提化する。監査がコード中心になりがちな組織ほど、設定・権限・例外ルートが棚卸しから漏れる。WAFログ、権限使用、データ転送量の監視と、異常時の封じ込め手順の訓練までを運用要件として組み込むべきである。
まとめ:守るべきはコードではなく「前提」
この事件は、最大の脅威がゼロデイではなく「設定とアクセス制御の前提の盲点」にあることを示した。クラウドの安全性は、WAF設定、IAM設計、メタデータ到達性、可観測性、運用成熟度の複合で決まる。情シスは定期点検と変更管理で攻撃コストを上げ、誤設定が起点になるリスクを継続的に潰す必要がある。