概要

Amazon Web Services（AWS）管理コンソールを標的とした新たなサプライチェーン攻撃が報告され、開発者コミュニティに警鐘が鳴らされています。サイバーセキュリティ研究者らは、脅威アクターが誤設定されたAWS認証情報と統合されたGitHubアクションを悪用し、リポジトリを乗っ取り、オープンソースプロジェクトに悪意のあるコードを注入していることを発見しました。

攻撃の詳細と手口

セキュリティ企業によると、攻撃者はGitHubリポジトリや開発環境に保存されている侵害されたAWS IAMキーを悪用します。攻撃の発端は、開発者が誤って機密性の高いアクセストークンを含む設定ファイルをコミットしてしまうことです。脅威アクターは自動化されたスクリプトを使用して公開GitHubリポジトリをスキャンし、有効な認証情報を取得します。これらの認証情報が手に入ると、彼らはAWSアカウントにログインし、有効な権限を悪用して、AWS CodePipelineやCodeBuildにリンクされたGitHubリポジトリからデータを変更または引き出す悪意のあるワークロードを展開します。

攻撃フローは、開発者が機密情報を含む構成ファイルを誤ってコミットすることから始まります。攻撃者はこれらのシークレットを自動スクリプトでスキャンし、有効な認証情報を取得するとAWSアカウントに認証し、GitHubプロジェクトに接続されたCI/CDパイプラインを悪用します。これにより、悪意のあるコミットをサイレントにプッシュしたり、進行中のデプロイメントで正規のビルド成果物を置き換えたりすることが可能になります。

深刻な影響

セキュリティアナリストは、このエクスプロイトが自動化されたビルドプロセスに依存するソフトウェアサプライチェーンに深刻なリスクをもたらすと警告しています。アプリケーションは知らずのうちに侵害された依存関係を組み込み、広範囲にわたる下流の感染につながる可能性があります。ある事例では、攻撃者がAWS Lambda関数を使用してビルドインフラストラクチャ内に悪意のあるコマンドを展開し、認証情報が取り消された後も永続的なアクセスを維持していたことが文書化されています。

推奨される対策

AWSは開発者に対し、以下の対策を推奨しています。

• 最小権限アクセス方針の採用。
• IAMキーの定期的なローテーション。
• 静的認証情報の代わりにサービスロールの使用。

GitHubユーザーには、シークレットスキャンの有効化、ブランチ保護ルールの適用、および不正なアクティビティに対するコミット履歴の監視が促されています。

まとめ

この事件は、クラウドと開発のエコシステムがいかに密接に統合されているか、そして誤設定がいかに容易に主要な攻撃ベクトルに変わり得るかを浮き彫りにしています。組織が自動化されたDevOpsパイプラインにますます依存する中で、これらの相互接続のセキュリティ確保は、将来のサプライチェーン侵害を防ぐために不可欠です。

---

元記事: https://gbhackers.com/aws-console-supply-chain-attack-enables-github-repository-hijacking/