このページでは、Google Cloud Observability に関連するすべてのセキュリティに関する公開情報について説明します。
GCP-2026-039
公開日: 2026 年 6 月 22 日
| 説明 | 重大度 | メモ |
|---|---|---|
Cloud Logging の脆弱性により、攻撃者がターゲットの Cloud Storage バケットを攻撃者が制御するプロジェクトに再作成することで、ログ シンクの宛先をハイジャックできる可能性がありました。この問題により、機密性の高いログが未承認の第三者に継続的にルーティングされる可能性がありました。 必要な対策 必要なご対応は特にありません。この脆弱性を修正するために、Cloud Logging が更新されました。そのため、宛先 Cloud Storage バケットの親プロジェクトが初期構成以降に変更された場合、ログシンクはエラーを返すようになります。ログ エクスポートを復元するには、影響を受けるログシンクを削除して再作成する必要があります。 ベスト プラクティスとして、宛先リソースを削除する前に、関連するログシンクを削除して、シンクがぶら下がるのを防ぐことをおすすめします。 対処されている脆弱性 この脆弱性により、攻撃者が Cloud Storage 用に構成されたログ エクスポートを不正使用する可能性があります。 以前の Cloud Logging シンクは、ログの転送にグローバルに一意の Cloud Storage バケット名のみを使用していました。これにより、悪意のあるユーザーが、攻撃者が制御するプロジェクトで同じ名前の削除済みバケットを再作成できるようになる可能性があります。アクティブなログシンクはエクスポートを自動的に再開し、機密ログを攻撃者のバケットに転送して、継続的なデータ不正流出を引き起こします。 この攻撃を実行するには、悪意のある行為者が転送先の Cloud Storage バケットの名前を事前に把握し、Cloud Storage バケットを削除する必要があります。 実装された修正では、シンクが最初に作成されたときに構成された同じ親プロジェクト内に宛先バケットが存在するようにすることで、この脆弱性を軽減します。Cloud Logging は、ログデータを Cloud Storage バケットに書き込むときに、このチェックを継続的に実行するようになりました。 |
中 |
GCP-2026-009
公開日: 2026 年 2 月 13 日
| 説明 | 重大度 | メモ |
|---|---|---|
2026 年 1 月より前の Observability Analytics ユーザー インターフェース バージョンでは、SQL クエリを自動的に実行するように構成できます。この脆弱性により、攻撃者はクエリ URL を作成できます。この URL を認証情報を持つユーザーが開くと、テーブルの内容にアクセスしたり、クエリ費用が発生したりする可能性があります。 必要な対策 ユーザーによる対応は必要ありません。この脆弱性は修正され、影響を受けるユーザー インターフェースは 2026 年 1 月に更新され、ユーザーが検査する機会がないまま悪意のある SQL が実行されるのを防ぐための介入ポイントが含まれるようになりました。 対処されている脆弱性 この脆弱性により、攻撃者がターゲットの Observability Analytics または BigQuery テーブルの限定されたコンテンツにアクセスできる可能性があります。これは、ターゲットが攻撃者が作成した SQL クエリを実行した場合に発生します。 この脆弱性は、BigQuery 監査ログを利用して、ターゲットのテーブルの内容に関する情報を攻撃者が制御する Google Cloud プロジェクトに伝達します。この脆弱性は、URL に埋め込まれたクエリを自動的に実行する Observability Analytics インターフェースの動作によって悪化します。これにより、ターゲットは、認証情報を使用して実行する前に、攻撃者が作成したクエリを検査できなくなります。 |
高 |
GCP-2026-005
公開日: 2026 年 1 月 28 日
| 説明 | 重大度 | メモ |
|---|---|---|
この脆弱性は、2026 年 1 月より前の Observability Analytics インターフェースと Cloud Monitoring ダッシュボード インターフェースのバージョンに影響します。 必要な対策 ユーザーによる対応は必要ありません。影響を受けるユーザー インターフェースは、2026 年 1 月に更新され、ユーザーが検査する機会がないまま悪意のある SQL が実行されるのを防ぐための介入ポイントが含まれるようになりました。 対処されている脆弱性 この脆弱性により、攻撃者は、ターゲットが攻撃者が作成したダッシュボードを表示したときに、ターゲットのオブザーバビリティ分析または BigQuery テーブルの限定されたコンテンツにアクセスできます。 この脆弱性は、BigQuery メタデータ チャネルを利用して、ターゲットのテーブル コンテンツに関する情報を攻撃者が制御する Google Cloud プロジェクトに伝達します。この脆弱性は、SQL ベースのウィジェットにデータを入力するためにクエリを自動的に実行するダッシュボード インターフェースの動作によって悪化します。これにより、ターゲットは、認証情報を使用して実行する前に、攻撃者が作成したクエリを検査できません。 |
高 |