攻撃パス分析は、ご利用の Alibaba Cloud リソース間のアクセス関係をマッピングし、攻撃者が公開されたエントリポイントから重大なターゲットに移動できる可能性のある、連鎖的な権限リスクを表面化させます。たとえば、Object Storage Service (OSS) バケットへのアクセス権を持つ Resource Access Management (RAM) ロールを保持する侵害された Elastic Compute Service (ECS) インスタンスは、マルチホップ攻撃パスを表します。Security Center はこれらのパスを視覚化し、悪用される前に危険な権限チェーンを閉鎖できるように修正案を生成します。
前提条件
開始する前に、以下を確保してください。
Cloud Security Posture Management (CSPM) 機能 (サブスクリプションまたは従量課金) を購入済みであること。攻撃パス分析は、ご利用の CSPM クォータを消費しません。
CSPM の購入の詳細については、「認証と購入」をご参照ください。
仕組み
攻撃パス分析は、個別のリスクを単独でアラートするものではありません。代わりに、リソース間の複数の権限関係を関連付け、一連の弱いシグナルが組み合わさって、エントリポイントから機密ターゲットへの悪用可能なパスを作成した場合にのみアラートを生成します。
攻撃パスは、侵入ポイント (侵入されたアセット) で始まり、[標的アセット]で終わります。このパスは、次の場合にのみ検出されます。
エントリポイントが少なくとも 1 つの脆弱な条件を満たしていること (「サポートされている資産」をご参照ください)。
権限チェーンがエントリポイントを機密ターゲットに接続していること (「機密資産の構成」をご参照ください)。
チェーンが 4 つの攻撃パスの種類のいずれかに該当すること。
Security Center は、攻撃パスを 1 日に 1 回自動的にスキャンし、いつでも手動スキャンをトリガーできます。
サポートされている資産
エントリポイント (侵害された資産):
ECS インスタンス
RAM ロール
AccessKey IDs
エントリポイントは、次のいずれかの条件が満たされた場合にのみアラートをトリガーします。
ECS インスタンスで緊急の脆弱性が検出された場合。
ECS インスタンスがインターネットに公開されており、少なくとも 1 つのリスクが検出された場合。
緊急アラートが ECS インスタンスで生成され、[アセット] > [ホスト] ページに表示されます。
RAM ロールの AccessKey ペアで Cloud Workload Protect Platform (CWPP) タイプの緊急アラートが生成された場合。
RAM ロールがアカウント間で引き受けられる場合。
対象資産:
ECS インスタンス
Alibaba Cloud アカウント
RAM ユーザー
RAM ポリシー
ユーザグループ
RAM ロール
OSS バケット
攻撃パスの種類
Security Center は 4 種類の攻撃パスを検出します。各タイプは、特定の権限シナリオのセットをカバーしています。
異常な AccessKey ペア
異常な AccessKey ペアを持つ RAM ユーザーが昇格された権限を持つシナリオ:
RAM ユーザーが RAM を管理できる。
RAM ユーザーが管理権限を持つ。
機密資産
攻撃者が構成された機密資産に到達できるシナリオ:
ECS インスタンスに割り当てられたロールが機密資産にアクセスできる。
異常な AccessKey ペアを持つ RAM ユーザーが機密資産にアクセスできる。
ロールが機密資産にアクセスでき、他の Alibaba Cloud アカウントによって引き受けられる。
機密資産が構成されていない場合、スキャン完了後に攻撃パスは検出されません。「機密資産の構成」をご参照ください。
ロールによる権限昇格
ECS インスタンスまたはクロスアカウントロールが RAM ロールの権限を使用して権限を昇格させるシナリオ:
ECS インスタンスが、割り当てられた RAM ロールを介して管理権限を取得する。
ECS インスタンスが、割り当てられたロールを介して RAM を管理する。
ECS インスタンスが、割り当てられたロールのポリシーのデフォルトバージョンをアタッチ、変更、または変更することで権限を昇格させる。
ECS インスタンスが、自身のロールバインディングを変更することで権限を昇格させる。
ECS インスタンスが、AccessKey ペアを作成するか、RAM ユーザーのコンソールログインを有効にすることで長期認証情報を取得する。
ECS インスタンスが、RAM ユーザーのログイン設定、ポリシー、またはユーザグループを変更することで権限を昇格させる。
ECS インスタンスが、高リスクの信頼ポリシーを変更することで権限を昇格させる。
ECS インスタンスが、RAM ユーザーが引き受けることができるロールを変更または引き受けることで権限を昇格させる。
ECS インスタンスが、割り当てられたロールが引き受けることができるロールを引き受けることで権限を昇格させる。
ECS インスタンスが、別の ECS インスタンスに割り当てられたロールから高リスクの権限を取得することで権限を昇格させる。
管理権限、RAM 管理権限、または高リスクの権限を持つロールが、他の Alibaba Cloud アカウントによって引き受けられる。
ロールが、自身のポリシーをアタッチまたは変更することで権限を昇格させることができ、他の Alibaba Cloud アカウントによって引き受けられる。
ユーザーによる権限昇格
RAM ユーザーが直接的または間接的な ECS ベースのアクセスを使用して権限を昇格させるシナリオ:
RAM ユーザーが、自身のポリシーをアタッチまたは変更することで権限を昇格させる。
RAM ユーザーが、自身のユーザグループのポリシーをアタッチまたは変更することで権限を昇格させる。
RAM ユーザーが、ロールの信頼ポリシーを変更してから引き受けることで権限を昇格させる。
RAM ユーザーが、ECS インスタンスでコマンドを実行してロールの権限を取得することで権限を昇格させる。
RAM ユーザーが、ECS インスタンスからファイルを送信してロールの権限を取得することで権限を昇格させる。
RAM ユーザーが、ECS インスタンスで Webshell コンソールセッションを開始することで権限を昇格させる。
RAM ユーザーが、ECS インスタンスのパスワードをリセットすることで権限を昇格させる。
RAM ユーザーが、Linux サーバーに SSH キーペアをバインドすることで権限を昇格させる。
RAM ユーザーが、ECS インスタンスを作成し、そのロールを自身に割り当てることで権限を昇格させる。
RAM ユーザーが、ECS インスタンスのロールバインディング構成を変更することで権限を昇格させる。
機密資産の構成
攻撃パスのスキャンは、構成済みの機密資産に至るパスを検索します。この構成がない場合、スキャンでは攻撃パスが検出されません。
Security Center コンソールにログインします。上部のナビゲーションバーで、リージョンとして [中国] を選択します。
左側のナビゲーションウィンドウで、リスクガバナンス > クラウドセキュリティポスチャ管理 を選択します。
[攻撃パス] タブで、右上隅にある [ポリシー管理] をクリックするか、[攻撃パス] セクションの [スキャン設定] をクリックします。
[スキャン対象の機密資産] タブで、左側で資産タイプをクリックし、右側で資産を選択します。

[OK] をクリックします。
ホワイトリストルールの構成
特定の既知のエントリポイントとターゲット間の攻撃パスがご利用の環境で許容される場合、それらをホワイトリストルールに追加します。Security Center は、ホワイトリストに登録されたパスのスキャンとアラートを停止します。
[攻撃経路]タブで、右上隅の[ポリシー管理]をクリックするか、[攻撃経路]セクションの[スキャン設定]をクリックします。
[ホワイトリストルール] タブで、[攻撃パス別] タブをクリックします。
「[ホワイトリストルールの作成]」をクリックします。表示されるパネルでパラメーターを設定し、「[OK]」をクリックします。
パラメーター 説明 ホワイトリスト名 ホワイトリストルールの名称です。英字、数字、およびアンダースコア (_) を使用できます。 攻撃パスの種類 抑制対象となる攻撃パスの種類です。有効な値: 異常な AccessKey ペア、機密資産、ロールによる権限昇格、ユーザーによる権限昇格。 攻撃パス 選択した種類に該当する具体的な攻撃パスです。 資産範囲 このルールを適用する資産を指定します。「すべての資産」または「特定の資産」のいずれかを選択します。 「特定の資産」を選択した場合は、抑制対象となるエントリポイントおよびターゲットも併せて選択してください。
攻撃パススキャンの実行
自動スキャン
Security Center は、攻撃パススキャンを 1 日に 1 回自動的に実行します。
機密資産が構成されていない場合、スキャンは攻撃パスを検出しません。
ホワイトリストに登録された攻撃パスはスキャン結果から除外され、アラートを生成しません。
手動スキャンを実行
[攻撃パス]タブで、[攻撃パススキャン]セクションの[クイックスキャン]をクリックします。
スキャンタスク履歴の表示
[タスク管理] パネルには、自動スキャンと手動スキャンの両方を含む過去 7 日間のレコードが表示されます。
[Cloud Security Posture Management] ページの右上隅で、[Task Management] をクリックします。
「攻撃パス」パネルで、タスクの詳細を確認します。
フィールド 説明 タスク ID スキャンタスクの一意の識別子。 タスクタイプ タスクが自動か手動か。 開始時刻/終了時刻 タスクの開始時刻と終了時刻。 ステータス 開始済み、完了、タイムアウト、処理中、または 失敗。 進行状況 スキャンされた資産の割合。 
タスクを見つけ、操作列の[詳細]をクリックして、資産レベルの結果を表示します:脆弱性を有する資産数、検出された攻撃パス数、正常にスキャンされた資産数、失敗した資産数、および全資産リスト。タスクステータス、資産タイプ、または資産IDで結果をフィルターできます。

攻撃パスの表示と処理
攻撃パスリストの表示
[攻撃パス] タブには、検出されたすべての攻撃パスが表示されます。統計は毎日自動的にリフレッシュされ、ページの上部に表示されます。

| 統計項目 | 説明 |
|---|---|
| 高優先度攻撃パス | 高優先度攻撃パスの合計数。 |
| 危険な資産 | 攻撃パスに関与する脆弱な資産の合計数。 |
| 攻撃パス情報 | 攻撃パス名、パスタイプ、侵害された資産、ターゲット資産を含む、攻撃パスによってトリガーされたアラートのリスト。 |
攻撃パスリストには、次のフィールドが表示されます。
| フィールド | 説明 |
|---|---|
| 重大度 | 攻撃パスの優先度:緊急 (赤)、疑わしい (オレンジ)、または 通知 (グレー)。 |
| 攻撃パス名 | 検出された攻撃パスの名前。 |
| パスタイプ | 異常な AccessKey ペア、機密資産、ロールによる権限昇格、または ユーザーによる権限昇格。 |
| 侵害された資産とターゲット資産 | 攻撃パスによって接続されたエントリポイントとターゲット。 |
| 最終発生日時 | 攻撃パスが最後に検出された時刻。 |
攻撃パスの詳細の表示
攻撃パスを見つけ、操作列の [詳細] をクリックします。

詳細パネルには、次のセクションが含まれています。
基本情報:優先度、攻撃パスタイプ、初回検出時刻、最終検出時刻。
侵入されたアセットとアセットの種類 / [標的となったアセットとアセットの種類]: 侵入されたアセットおよび標的となったアセットのインスタンス ID と種類です。インスタンス ID をクリックすると、[アセット] モジュール内のアセットの詳細ページに移動します。
攻撃パス情報:攻撃パスを検出するために使用されるロジック。
ソリューション:攻撃パスを修正するための提案と手順。
攻撃パスグラフ:影響を受けた資産間の関係を視覚的にマッピングしたもの。
攻撃パスグラフの操作
攻撃パスグラフを使用すると、権限チェーンを視覚的にトレースし、影響を受けたリソースに直接移動できます。
赤い線は、ノード間のリスクを示します。赤い線をクリックすると、そのリスクの修正案が表示されます。

ノードは資産を表します。ノードをクリックすると、その基本情報と関連する脆弱性が表示されます。

右上隅の
アイコンをクリックすると、ノードアイコンの凡例とその説明が表示されます。
右上隅の
アイコンをクリックすると、グラフレイアウトを変更できます。
右上隅の
アイコンをクリックすると、グラフをダウンロードできます。ダウンロードしたグラフをセキュリティ管理者と共有して、追跡可能性と分析効率を向上させます。
攻撃パスをホワイトリストに追加
検出された攻撃パスが許容可能であり、将来のスキャンでそれを抑制したい場合は、結果リストから直接ホワイトリストルールに追加します。
[攻撃パス] タブで攻撃パスを見つけ、「操作」列の [ホワイトリストに追加] をクリックします。
「[ホワイトリスト名]」フィールドに名前を入力し、アセット範囲を選択します。
すべての資産:将来追加される資産を含む、すべての資産にわたってこの攻撃パスの検出とアラートを抑制します。
現在の資産:現在の侵害された資産とターゲット資産のみの検出とアラートを抑制します。
[OK] をクリックします。
既存のホワイトリストルールを表示するには、[ポリシー管理] パネルの [ホワイトリストルール] の下の [攻撃パス別] タブに移動します。
次のステップ
エントリーポイントアセットで検出された脆弱性に対処するには、「脆弱性の表示および対処」および「脆弱性の修復」をご参照ください。
攻撃パスに関与する資産の緊急アラートを処理するには、「アラートの表示と処理」をご参照ください。