Home Depot、内部システムへのアクセスが1年間露呈か
セキュリティ研究者によると、大手ホームセンターのHome Depotは、従業員が誤ってGitHubアクセストークンをオンラインに公開したことにより、内部システムへのアクセスが約1年間にわたり露呈していたと報じられています。
このトークンは2024年初頭に公開され、発見されるまで長期間にわたってインターネット上に存在していました。
セキュリティ研究者による発見と企業の対応
セキュリティ研究者のベン・ジンマーマン氏は11月初旬にこの公開されたトークンを発見しました。彼はこのトークンを検証した結果、数百に及ぶHome Depotの非公開GitHubソースコードリポジトリへのアクセス権限が付与されており、その内容の変更も可能であったと述べています。
さらに、ジンマーマン氏によると、このキーはHome Depotのクラウドインフラ、注文処理システム、在庫管理システム、コード開発パイプラインなど、広範な内部システムへのアクセスを可能にするものでした。
ジンマーマン氏は数週間にわたりHome Depotにこのセキュリティ上の問題について連絡を試みましたが、同社からは返答が得られませんでした。彼は過去に他の企業に同様の脆弱性を報告し、感謝された経験があることから、「Home Depotだけが私を無視した唯一の企業だった」とTechCrunchに語っています。
Home Depotには、脆弱性開示プログラムやバグ報奨金プログラムのようなセキュリティ上の問題を報告する公式な手段がありませんでした。
TechCrunchの介入と問題の解決
TechCrunchがHome Depotの担当者に連絡を取った後、ようやく状況は動き出しました。TechCrunchからの問い合わせを受けてすぐに、公開されていたトークンはオンラインから削除され、アクセス権も取り消されたとジンマーマン氏は述べています。
TechCrunchはHome Depotに対し、トークンがオンラインに公開されていた期間中に、誰かがこれを使用して内部システムにアクセスしたかどうかを判断するための技術的な手段(ログなど)があるか尋ねましたが、同社からの回答はありませんでした。
企業に求められるセキュリティ対策と情報開示
この一件は、企業のセキュリティ対策と、外部からのセキュリティ報告に対する適切な対応の重要性を浮き彫りにしています。従業員によるアクセストークンの誤公開は珍しいことではありませんが、その後の企業の対応が、さらなる被害を防ぐ上で決定的な役割を果たします。
特に、脆弱性開示プログラムの設置は、外部のセキュリティ専門家が発見した問題を安全かつ責任ある形で報告できる道筋を提供し、企業自身のセキュリティ体制強化に繋がります。