概要
Target Corporationの開発サーバーが、ハッカーによる内部ソースコード窃取の主張を受け、インターネットからアクセス不能となりました。これは、ハッカーが盗まれたとされるコードリポジトリのサンプルを公開のソフトウェア開発プラットフォームに掲載した後、報じられたものです。
ハッカーの主張と公開された証拠
先週、匿名の脅威アクターが、Target社の内部コードと開発者向けドキュメントの一部を含むと思われる複数のリポジトリをGiteaに作成しました。これらのリポジトリは、地下のフォーラムやプライベートチャネルで販売されているとされる、はるかに大規模なデータセットのプレビューとして提示されました。
各リポジトリには「SALE.MD」というファイルが含まれており、フルデータセットに含まれると称する数万のファイルとディレクトリがリストアップされていました。このリストは57,000行以上に及び、合計で約860 GBのアーカイブサイズが宣伝されていました。サンプルとして公開されたリポジトリ名には以下のものがありました:
- wallet-services-wallet-pentest-collections
- TargetIDM-TAPProvisioingAPI
- Store-Labs-wan-downer
- Secrets-docs
- GiftCardRed-giftcardui
また、コミットメタデータやドキュメントには、Target社の内部開発サーバー名や、現在のTarget社の上級・主任エンジニアの名前が参照されていました。
Target社の迅速な対応
BleepingComputerがこの件についてTarget社に問い合わせたところ、ハッカーがGiteaに掲載したファイルはすぐにオフラインにされ、Target社のGitサーバーであるgit.target.comもインターネットからアクセス不能となりました。以前はログインページにリダイレクトされていたこのサブドメインは、現在では外部からロードできません。
BleepingComputerは、Googleなどの検索エンジンがgit.target.comから少数のリソースをインデックスおよびキャッシュしていたことも確認しており、過去にはこのドメインから一部コンテンツが公開されていた可能性を示唆しています。
内部からの漏洩を示唆する証拠
BleepingComputerは完全な860 GBのデータセットを独自に検証しておらず、情報漏洩が発生したことを確認していませんが、ディレクトリ構造、リポジトリの命名、および「SALE.MD」インデックス内の内部システム参照は、大規模な企業Git環境と矛盾しないと指摘しています。さらに、その内容はTarget社のGitHub上のオープンソースプロジェクトのいずれとも一致せず、もし本物であれば、公開されたコードではなくプライベートな開発インフラから流出したものであることを示唆しています。
コミットメタデータやドキュメントに現在のTarget社の主任・上級エンジニアの名前が含まれていることや、confluence.target.comなどの内部APIエンドポイントへのリンクも、ファイルの出所について疑問を投げかけています。Target社は問い合わせ後、追加のコメントを拒否しています。
過去のセキュリティ事件
Target社が過去に公表した最も重大なセキュリティ事件は、2013年に発生した大規模な情報漏洩です。この事件では、最大1億1000万人の顧客に属する支払いカードデータや個人識別情報が盗まれ、東ヨーロッパに位置するインフラに流出しました。