サイバーニュース.jp

世界のサイバーなニュースを配信

オンラインコードツールを通じた開発者の機密情報漏洩問題が深刻化

カテゴリ:

はじめに:オンラインコードツールの隠れたリスク

セキュリティ研究機関 watchTowr Labs は、一般的なオンラインJSONフォーマットツールをスキャンした結果、開発者や管理者が機密情報を意図せず公開している大規模な漏洩を発見しました。開発者や管理者がパスワード、APIキー、データベース認証情報、個人識別情報(PII)などを jsonformatter.orgcodebeautify.org といったサイトに貼り付けていたことが判明しました。「保存」機能によって生成された公開共有可能なリンクが、これらの情報漏洩の原因となっています。

漏洩のメカニズムと規模

watchTowr Labsのチームは、「Recent Links」ページをクロールし、/service/getDataFromID のようなエンドポイントへの単純なPOSTリクエストを通じてデータを抽出しました。これにより、数年間にわたる80,000件以上の提出物が収集され、政府、金融、重要国家インフラ(CNI)、サイバーセキュリティ企業を含む重要なセクターから、数千もの高価値な機密情報が明らかになりました。

これらの漏洩は、コードの整形を目的としたツールに起因しており、多くの場合「JSON beautify」などの検索で上位に表示されます。jsonformatter.orgだけでも、過去の「Recent Links」ページには最大35万件のエントリがリストされており、各ページにはタイトル、日付、IDが10件ずつ含まれています。この予測可能なフォーマットにより、自動スクレイピングが可能となり、次のリクエストで生のJSONペイロードを取得することができます。

この方法により、ギガバイト単位のデータが取得され、ハードコードされたAWS AccessKeyIds(AKIA-プレフィックス付き)暗号化されたマスターキーを含むJenkins credentials.xmlファイル、および本番S3バケットに紐付けられたSplunk SOARプレイブックなどが露見しました。

業界を横断する衝撃的な発見

分析は主に企業関連の機密情報に焦点を当て、組織のメールアドレス、ドメイン、またはCyberArkや内部ホスト名のようなキーワードでフィルタリングされました。以下は特に重要な発見の一部です。

  • 米国の主要銀行のActive Directory認証情報が、MSSP従業員のオンボーディングメールを通じて漏洩。ユーザー名、パスワード、セキュリティ質問、トークンを含む。
  • あるサイバーセキュリティベンダーが、暗号化されたSPNキー配布ファイル、SSL秘密鍵パスワード、および本番環境を反映する可能性のあるQA/開発構成を公開。
  • 銀行のKYCデータ(顧客の完全なプロファイル、氏名、住所、電話番号、IPアドレス、ISP、銀行ドメインでホストされているビデオ面接リンク)が流出。
  • 政府機関が、内部エンドポイント、IIS構成、レジストリ強化、およびデフォルトの管理者ユーザー名を詳述する1,000行以上のPowerShellデプロイスクリプトを公開。
  • 株式取引所がインシデント対応自動化のためのAWS認証情報を漏洩させ、検出ロジックの破壊リスクを招く。
  • サプライチェーン企業が、クラウドインフラ構成におけるDocker Hub、JFrog、Grafana、およびRDS認証情報を共有。
  • 大学プロジェクトから、MITRE関連のJenkinsエクスポートが、暗号化されたトークンと秘密鍵を伴って浮上。

影響を受けたセクターには、金融、通信、医療、航空宇宙、小売、および銀行にサービスを提供するMSSPが含まれます。

漏洩した機密情報の種類

  • クラウドキー: AWS AKIA/SecretAccessKey、S3バケット(影響セクター:取引所、テクノロジー)
  • 認証情報: ADユーザー名/パスワード、Jenkins XML(影響セクター:MSSP、銀行、政府)
  • APIトークン: GitHub RWトークン、Splunk SOAR(影響セクター:コンサルタント、セキュリティ企業)
  • PII/データベース: KYCプロファイル、RDS認証情報(影響セクター:銀行、保険)
  • 構成/スクリプト: PowerShell強化、SPNキー配布ファイル(影響セクター:政府、サイバーセキュリティ)

対策と共有責任

WatchTowerは、影響を受けた組織やCISA、NCSC UK、CERT-EUなどのCERTに数ヶ月前に通知しましたが、反応は限定的でした。カナリートークンテストにより、他の第三者もスクレイピングを行っていることが確認されました。偽のAWS認証情報が有効期限切れから48時間後にヒットしたことで、積極的な悪用が進行していることが証明されました。

開発者は、これらのツールに機密データを保存することを避けるべきです。代わりに、ローカルエディターや安全な保管庫を使用する必要があります。プラットフォーム側は、公開保存機能を無効にするか、有効期限を強制する機能を追加すべきです。

この問題は、利便性からくる思わぬ漏洩がサプライチェーンリスクを助長するという、共有責任の重要性を浮き彫りにしています。watchTowrのプラットフォームのような事前の露出管理は、攻撃者よりも早くこのような脆弱性を検出するのに役立ちます。

元記事: https://gbhackers.com/developers-exposing-sensitive-credentials/

投稿をさらに読み込む