今更ですが当時参加したことを思い出しながら投稿します
フルクラウド環境でのペネトレーションテスト:ゼロトラスト時代の攻撃経路と課題
オンプレの時代から、企業インフラは急速に 「フルクラウド」へとシフトしています。
では、ペネトレーションテストはどう変わるのでしょうか?
本記事では、GMOサイバーセキュリティ byイエラエの安里悠矢(@328__)さんがPentestSecJPで語った内容をもとに、フルクラウド環境でのリアルな攻撃経路とテストの課題をまとめます。
☁️ フルクラウド環境とは?
- オンプレミスのActive DirectoryもVPNも存在しない
- Microsoft EntraなどクラウドIdPによるSSOとデバイス管理
- 全ての業務基盤がSaaSベース(メール・ストレージ・チャット・開発環境 etc)
従来の「社内ネットワーク」や「同一ネットワーク上のホスト」という概念がなく、“端末乗っ取り=全権奪取”とは限らないのが大きな違いです。
🧭 攻撃の起点:エンドポイント端末から何ができるか?
たとえ1台の社員PCを奪取しても、「社内LANを横断して広がる」という展開は難しい。
それでも以下のような経路から攻撃が進行します。
✅ エンドポイントからクラウドへの攻撃パターン
| 攻撃内容 | 説明 |
|---|---|
| PRT (Primary Refresh Token) 悪用 |
login.microsoftonline.com に使えるCookieを生成してSSOを奪取 |
| ブラウザセッションのダンプ | セッションCookieやトークンを抜き取ることで、MFA不要で各種SaaSへアクセス |
| GitHub等のmanifest改ざん | SecretsやCI/CDの設定を汚染、prod環境のアクセスキー奪取に至ることも |
| Dynamic Group設定ミス | ゲストユーザーが特権グループに自動参加してしまう構成を悪用 |
| 条件付きアクセス設定の収集 | Azure Graph API経由で、誰がどのSaaSにアクセス可能かを把握 |
🔐 フルクラウドでの難しさ:課題は「見えない設定」
⚠ シナリオベーステストの限界
- 表面上の脆弱性がなければ、攻撃経路が「途中で切れる」ことも
- 結果、以下のような問題が起きます:
| 課題 | 内容 |
|---|---|
| 本番環境にたどり着けない | IAMやS3の設定ミスがテスト対象外になってしまう |
| 可視化できる範囲が狭い | PRTやInvite Tokenが取れないと、評価できるのは一部のSaaSだけ |
| 時間ばかりかかって成果が見えない | 攻撃経路を探しても「見えないインフラ設定」に阻まれることも |
🧩 解決の方向性:どうテストすべきか?
✅ ハイブリッド戦略
- シナリオベース:社員端末→クラウドSaaSへの現実的な攻撃経路を再現
- 設定ベース:テスターに高権限の読み取り専用アカウントを提供し、設定ミスを可視化
- 人間を含めたテスト:内部情報を用いたスピアフィッシングなど、“運用ミス”も含めた評価へ
💡セキュアな設計でも「人がフィッシングで漏らす」などは別問題。
システムだけでなく、組織としてセキュリティを保つことがゴール。
📝 まとめ:フルクラウド時代のペンテストとは
- 構成ミス × 証跡 × 運用のスキを突くことが主戦場
- 攻撃手法は“ブラウザの中”と“トークン”に集約されつつある
- ブラックボックステストだけにこだわらず、設定ベースの視点を取り入れることで、より網羅的な診断が可能に
✍️ あとがき
“境界のないネットワーク”時代におけるペンテストは、従来の手法だけでは通用しません。
それでも、人とシステムの接点を深く理解することで、攻撃者の目線に近づけるはずです。
クラウド時代の脅威に対応するためにも、まずは「どこが攻撃の起点になり得るか?」から考えてみるのが第一歩かもしれません。