データ漏洩: Cloud SQL データの漏洩

このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。使用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。

概要

Cloud SQL からのデータの漏洩は、監査ログで次の 2 つのシナリオを調べることで検出できます。

• 組織外の Cloud Storage バケットにエクスポートされたライブ インスタンス データ。
• 組織が所有し、一般公開される Cloud Storage バケットにエクスポートされたライブ インスタンス データ。

Cloud SQL インスタンスの全タイプがサポートされています。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

対処方法

この検出結果に対応する手順は次のとおりです。

ステップ 1: 検出結果の詳細を確認する

1. 検出結果の確認の説明に従って、Exfiltration: Cloud SQL Data Exfiltration の検出結果を開きます。検出結果の詳細パネルが開き、[概要] タブが表示されます。

2. [概要] タブで、次のセクションの情報を確認します。

   • 検出された内容（特に次のフィールド）:
     • プリンシパルのメール: データの漏洩に使用されたアカウント。
     • データの引き出しのソース: データが漏洩した Cloud SQL インスタンスの詳細。
     • データの引き出しのターゲット: データのエクスポート先の Cloud Storage バケットの詳細。
   • 影響を受けているリソース（特に次のフィールド）:
     • リソースの完全な名前: データが漏洩した Cloud SQL のリソース名。
     • プロジェクトのフルネーム: ソースの Cloud SQL データを含む Google Cloud プロジェクト。
   • 関連リンク（以下を含む）:
     • Cloud Logging URI: Logging エントリへのリンク。
     • MITRE ATT&CK 方式: MITRE ATT&CK ドキュメントへのリンク。
     • 関連する検出結果: 関連する検出結果へのリンク。

3. [JSON] タブをクリックします。

4. 検出結果の JSON で、次のフィールドを確認します。

   • sourceProperties:
     • evidence:
     • sourceLogId:
       • projectId: ソースの Cloud SQL インスタンスを含む Google Cloud プロジェクト。
     • properties
     • bucketAccess: Cloud Storage バケットが一般公開か、組織外部かどうか。
     • exportScope: エクスポートされたデータの量（インスタンス全体、1 つ以上のデータベース、1 つ以上のテーブル、またはクエリで指定されたサブセット）

ステップ 2: 権限と設定を確認する

1. Google Cloud コンソールで、[IAM] ページに移動します。

   IAM に移動

2. 必要に応じて、検出結果の JSON の projectId フィールド（ステップ 1 を参照）に表示されているインスタンスのプロジェクトを選択します。

3. 表示されたページの [フィルタ] ボックスに、検出結果の詳細の [概要] タブにある [プリンシパルのメール] 行のメールアドレス（ステップ 1 を参照）を入力します。アカウントに割り当てられている権限を確認します。

ステップ 3: ログを確認する

1. Google Cloud コンソールで、Cloud Logging の URI のリンク（ステップ 1 を参照）をクリックして、[ログ エクスプローラ] に移動します。[ログ エクスプローラ] ページに、関連する Cloud SQL インスタンスに関するすべてのログが表示されます。

ステップ 4: 攻撃とレスポンスの手法を調査する

1. この検出結果タイプに対応する MITRE ATT&CK フレームワークのエントリ（Exfiltration Over Web Service: Exfiltration to Cloud Storage）を確認します。
2. 関連する検出結果を確認するには、ステップ 1 で説明した [関連する検出結果] 行のリンクをクリックします。関連する検出結果の検出タイプは、同じ Cloud SQL インスタンス上で同一です。
3. 対応計画を策定するには、独自の調査結果と MITRE の調査を組み合わせる必要があります。

ステップ 5: レスポンスを実装する

次の対応計画は、この検出結果に適切な場合もありますが、運用に影響する可能性もあります。調査で収集した情報を慎重に評価して、検出結果を解決する最適な方法を判断してください。

• データが漏洩したプロジェクトのオーナーに連絡します。
• 調査が完了するまで、access.principalEmail の権限を取り消すことを検討します。
• これ以上の漏洩を止めるには、影響を受けた Cloud SQL インスタンスに制限付きの IAM ポリシーを追加します。
  • MySQL
  • PostgreSQL
  • SQL Server
• Cloud SQL Admin API へのアクセスとそこからのエクスポートを制限するには、VPC Service Controls を使用します。
• 過度に制限の緩いロールを特定して修正するには、IAM Recommender を使用します。

次のステップ

• Security Command Center で脅威の検出結果を操作する方法を学習する。
• 脅威の検出結果のインデックスを確認する。
• Google Cloud コンソールで検出結果を確認する方法を学習する。
• 脅威の検出結果を生成するサービスについて学習する。