Asayomu Tech
注目★★★★Google Cloud

認証なしの Cloud Functions は危険、LFI/RFI で全クラウド環境が乗っ取られるリスク

30秒で把握

  • 1Mandiant が認証なしの公開サーバーレスアプリケーションを頻繁に発見・LFI/RFI で全コンテナ制御可能
  • 2カスタムコード + 第三者パッケージの組み合わせがコマンドインジェクション等の攻撃対象に・クラウド環境全体侵害のリスク
  • 3Google が Cloud Run のハードニング戦略を公開・入力検証と依存関係管理の即実施が必須

要約

Google Cloud の Mandiant セキュリティ評価では、認証なしで公開されたサーバーレスアプリケーションが頻繁に検出されている。Local/Remote File Inclusion (LFI/RFI) やコマンドインジェクション攻撃に成功すると、攻撃者はコンテナインスタンスを完全制御でき、クラウド環境全体の侵害につながる可能性がある。ビジネス要件で認証を省略せざるを得ないケースもあるが、Google Cloud Run 等のサーバーレス環境では、カスタムコードと第三者パッケージの組み合わせが攻撃対象となりやすい。Google は実装例とハードニング戦略を提供し、組織が適切なセキュリティ対策で初期アクセスを防ぐ必要があると指摘している。

あなたへの影響

この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。

7日間無料で読む

クレカ不要・いつでも解約

詳細を読む → 元記事へ※ 本文は元記事をご確認ください (asayomu は要約のみ提供)

関連する記事

※ 外部記事の権利は原著作者に帰属します。著作権削除要請は copyright@asayomu.jp までご連絡ください(受領確認 24h・実処理 72h 以内)。