アカウントの認証情報の漏洩

このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。使用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。

概要

この検出結果は、 Google Cloud サービス アカウントの認証情報が誤ってオンラインに流出した場合や、不正に使用された場合に生成されます。

この検出結果のソースは異常検出です。

顧客への対処方法

この検出結果に対応する手順は次のとおりです。

ステップ 1: 検出結果の詳細を確認する

1. 検出結果の詳細を確認するの手順に沿って account_has_leaked_credentials の検出結果を開きます。検出結果の詳細パネルが開き、[概要] タブが表示されます。

2. [概要] タブで、次のセクションの情報を確認します。

• 検出された内容
• 影響を受けているリソース

1. [ソース プロパティ] タブをクリックし、次のフィールドを確認します。

   • Compromised_account: 不正使用の可能性があるサービス アカウント
   • Project_identifier: 漏洩した可能性のあるアカウント認証情報を含むプロジェクト
   • URL: GitHub リポジトリへのリンク

2. 検出結果の完全な JSON を表示するには、[JSON] タブをクリックします。

ステップ 2: プロジェクトとサービス アカウントの権限を確認する

1. Google Cloud コンソールで、[IAM] ページに移動します。

   [IAM] に移動

2. 必要に応じて、Project_identifier に表示されているプロジェクトを選択します。

3. 表示されたページの [フィルタ] ボックスに、Compromised_account に表示されているアカウント名を入力して、割り当てられている権限を確認します。

4. Google Cloud コンソールで、[サービス アカウント] ページに移動します。

   [サービス アカウント] に移動

5. 表示されるページの [フィルタ] ボックスに、不正使用されているサービス アカウントの名前を入力して、サービス アカウントのキーとキーの作成日を確認します。

ステップ 3: ログを確認する

1. Google Cloud コンソールで、[ログ エクスプローラ] に移動します。

   [ログ エクスプローラ] に移動

2. Google Cloud コンソールのツールバーで、プロジェクトを選択します。

3. 読み込まれたページで、次のフィルタを使用して、新規または更新された IAM リソースのアクティビティ ログを確認します。

   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • resource.type="gce_instance" AND log_name="projects/Project_identifier/logs/cloudaudit.googleapis.com%2Factivity"
   • protoPayload.methodName="InsertProjectOwnershipInvite"
   • protoPayload.authenticationInfo.principalEmail="Compromised_account"

ステップ 4: 攻撃とレスポンスの手法を調査する

1. この検出結果タイプに対応する MITRE ATT&CK フレームワーク エントリ（Valid Accounts: Cloud Accounts）を確認します。
2. 関連する検出結果を確認するには、relatedFindingURI のリンクをクリックします。関連する検出結果とは、同じインスタンスとネットワークで検出された同じタイプの検出結果のことです。
3. 対応計画を策定するには、独自の調査結果と MITRE の調査を組み合わせる必要があります。

ステップ 5: レスポンスを実装する

次の対応計画は、この検出結果に適切な場合もありますが、運用に影響する可能性もあります。調査で収集した情報を慎重に評価して、検出結果を解決する最適な方法を判断してください。

• 認証情報が漏洩したプロジェクトのオーナーに連絡します。
• 不正使用されたサービス アカウントを削除し、不正使用されたプロジェクトのサービス アカウントのアクセスキーをすべてローテーションして削除することを検討します。削除後は、このサービス アカウントを認証に使用するリソースにアクセスできなくなります。続行する前に、セキュリティ チームは影響を受けるすべてのリソースを確認し、リソースのオーナーと協力してビジネスの継続性を確保する必要があります。
• セキュリティ チームと協力して、覚えのないリソース（Compute Engine インスタンス、スナップショット、サービス アカウント、IAM ユーザーなど）を特定します。承認済みアカウントで作成されていないリソースを削除します。
• Google Cloud サポートからの通知に対応します。
• サービス アカウントを作成できるユーザーを制限するには、組織のポリシー サービスを使用します。
• 過度に制限の緩いロールを特定して修正するには、IAM Recommender を使用します。
• URL リンクを開き、漏洩した認証情報を削除します。不正使用されているアカウントに関する詳細な情報を収集して、オーナーに連絡します。

次のステップ

• Security Command Center で脅威の検出結果を操作する方法を学習する。
• 脅威の検出結果のインデックスを参照してください。
• Google Cloud コンソールで検出結果を確認する方法を学習する。
• 脅威の検出結果を生成するサービスについて学習する。