eSecurity Planetは9月9日(現地時間)、「GitHub Breach Exposed 700+ Companies in Months-Long Attack|eSecurity Planet」において、700社以上に影響を及ぼした大規模なサプライチェーン攻撃の概要を伝えた。
これはGoogleなどの世界的大企業を巻き込んだサイバー攻撃の概要をまとめたもので、GitHubの侵害がその発端になったという。
-
GitHub Breach Exposed 700+ Companies in Months-Long Attack|eSecurity Planet
成功の秘訣は高性能なマルウェアではない、忍耐
eSecurity Planetによると、脅威アクターはSalesloftを含む複数のGitHubリポジトリからコードをダウンロードし、ゲストアカウントを追加。不正なワークフローを設定して、数か月間にわたり偵察活動を続けたという。
長期にわたる情報収集活動は実を結び、DriftのAmazon Web Services(AWS)環境を侵害すると、SalesforceおよびGoogle Workspaceとの連携に使用されるOAuthトークンを窃取。その後の流れは以前に伝えたとおりで、最終的に一部データの流出につながっている(参考:「Google Workspaceに不正アクセス、Salesloft Driftのデータ侵害が影響 | TECH+(テックプラス)」)。
侵害された企業は22社、影響を受けた企業は700社を超える
脅威アクターは8月8日から18日にかけてSalesforce環境から機密情報を窃取したとされる。この情報には顧客の連絡先、サポートケースの内容、アカウントの記録、さらにはAPIキーやクラウド資格情報が含まれていた可能性もあるという。
これら企業間の安全な連携を保証する「鍵」が盗まれたことで、脅威アクターは複数の企業への侵入に成功した。侵入を検出した各企業は連携の停止を余儀なくされ、数日間にわたり業務に支障を来す結果となった。
この事案では、信頼された統合やベンダーアクセスが侵入経路となる現実を突きつけている。また従来のセキュリティ体制では忍耐強い攻撃者に対して脆弱である事実も浮き彫りにしている。記事では結論として、企業はOAuthトークンなどを最重要資産として扱うようになり、ベンダーリスクを形式的な確認ではなく実質的な監視と制御で管理するようになるだろうとの予測を伝え、管理体制の強化を促している。
