Krebs on Securityはこのほど、「CISA Admin Leaked AWS GovCloud Keys on Github - Krebs on Security」において、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)の請負業者「Nightwing」からAWS GovCloudアカウントおよびCISA内部システムに関係する多数の認証情報が流出したと報じた。

請負業者はこれら認証情報をGitHubリポジトリーに保存し、機密情報の流出を防止するGitHubのデフォルト設定を無効にしていたという。

  • GitHub上で公開状態となっていたCISA関連リポジトリの一部 引用:Krebs on Security

    GitHub上で公開状態となっていたCISA関連リポジトリの一部 引用:Krebs on Security

平文パスワードなど大量流出、有効な認証情報も

これはGitGuardianの研究員であるGuillaume Valadon氏によって発見された。GitGuardianは公開リポジトリを常時スキャンし、機密情報の監視を行っており、この業務の一環で流出が特定された。

この監視システムは自動的に所有者に通報する機能を持つが、今回は機能しなかったという。研究者は発見当初、偽情報を疑ったようだが、その後の調査で機密性の高い情報流出が判明し、Krebs on Securityに連絡をとったとされる。

流出した機密情報の概要は次のとおり。

  • CSVファイルに保存された平文パスワード
  • Gitのバックアップ
  • GitHubのシークレット検出機能を無効にする明示的なコマンド
  • 機密情報を含むファイルの一部 - 引用:Krebs on Security

    機密情報を含むファイルの一部 引用:Krebs on Security

研究者は「私のキャリアの中で目にした最悪の情報漏洩です」と述べ、事の重大さを伝えている。パスワードにはAmazon AWS GovCloudサーバ3台分の管理者認証情報が含まれており、この認証情報についてはSeralysの創設者であるPhilippe Caturegli氏により有効性が確認されている。

ソフトウェアサプライチェーンへの攻撃につながる恐れ

CISAは米国のITセキュリティを統括する重要な政府機関だ。アメリカ合衆国国土安全保障省(DHS: United States Department of Homeland Security)の外局機関で、サイバー攻撃から米国の重要インフラなどを保護する役割を担っている。

研究者はアクセスに成功したAWS GovCloudのアーカイブから、CISAの内部アーティファクトリー(ソフトウェア構築に使用されるコードパッケージのリポジトリー)の平文認証情報が含まれていることを確認している。この情報が攻撃者に悪用された場合、CISAのソフトウェアパッケージにマルウェアを混入される可能性がある。

この場合、CISAが新しいソフトウェアを開発するたびにバックドアが配布されることになり、CISA経由でマルウェアが配布される恐れがある。影響はCISA内部に留まらず、保護すべきインフラ組織や関連企業も免れない。

個人環境からのアクセスが原因か

CISAの広報担当者は、本件について報告を受け、調査を実施していることを明らかにした。これまでの調査では、さらなる機密情報流出の兆候はないという。

また、同様の事態が今後発生しないよう、追加の安全対策を実施する方針も明らかにした。情報流出の発生源となったNightwingは、本件問い合わせに対して直接の回答を拒否したとされる。

なお、本事案ではNightwingの担当者が仕事用のコンピューターと個人所有のコンピューターの両方からGitHubリポジトリーにアクセスしていた疑いがもたれている。確固たる証拠があるわけではないが、推測につながる情報が特定されており、セキュリティ意識の低い従業員の存在が脅威として指摘されている。