オンラインコード整形ツールの脆弱性が明らかに
人気のオンラインコード整形サービス「JSONFormatter」と「CodeBeautify」から、数千件に及ぶ組織の機密情報が流出していることが判明しました。これらのツールが提供する「Recent Links」機能が、ユーザーによって保存された機密性の高いJSONスニペットを、誰でもアクセスできる状態にしていたためです。
外部攻撃表面管理会社WatchTowrの研究者たちは、この脆弱性を発見。両サービスを通じて公開されたデータは、合計80,000件以上のユーザーペースト、容量にして5GB以上に上ると報告しています。
広範囲にわたる機密データの流出
流出したデータには、以下のような極めて機密性の高い情報が含まれていました。
- Active Directory認証情報
- データベースおよびクラウド認証情報
- プライベートキー
- コードリポジトリトークン
- CI/CDシークレット
- 決済ゲートウェイキー
- APIトークン
- SSHセッション記録
- 個人特定情報(PII)、特に顧客確認(KYC)データ
これらの情報が、政府、重要インフラ、銀行、保険、航空宇宙、医療、教育、サイバーセキュリティ、通信といった高リスクな分野の組織に影響を与えていることが確認されています。
具体的な漏洩事例とその深刻さ
WatchTowrの調査では、特に深刻な複数の漏洩事例が報告されています。
- 国際的な証券取引所のSplunk SOARシステムで使用されるAWS認証情報。
- マネージドセキュリティサービスプロバイダー(MSSP)のオンボーディングメールを通じて漏洩した、米国の銀行の認証情報。
- あるサイバーセキュリティ企業からは、非常に機密性の高い設定ファイルの暗号化された認証情報、SSL証明書のプライベートキーパスワード、外部および内部のホスト名、IPアドレス、さらにはキー、証明書、設定ファイルのパスなどが流出。
- 政府機関からは、インストーラーのフェッチ、レジストリキーの設定、構成の強化、ウェブアプリケーションのデプロイを行う1,000行のPowerShellコードが流出。直接的な機密データは含まれていないものの、内部エンドポイントやIIS構成値など、攻撃者が利用可能な価値ある情報が含まれていました。
- 「Data Lake-as-a-Service (DLaaS)」製品を提供するテクノロジー企業からは、Docker Hub、Grafana、JFrog、RDSデータベースの認証情報を含むクラウドインフラ設定ファイルが公開。
攻撃者の活動と継続する脅威
研究者たちは、Canarytokensサービスを利用して偽のAWSアクセスキーをJSONFormatterとCodeBeautifyに仕掛け、攻撃者がこれらの公開されたJSONをスキャンしているかを調査しました。その結果、リンクの有効期限が切れてコンテンツが削除されたはずの48時間後にも、偽のキーへのアクセス試行が記録されたとのことです。これは、攻撃者がすでにこれらの公開情報を積極的に悪用している可能性を示唆しています。
WatchTowrは影響を受けた多くの組織に連絡を取りましたが、一部は対応したものの、多くの組織からは応答がなく、現在も「Recent Links」は自由にアクセス可能な状態が続いています。この状況は、機密データが引き続き脅威にさらされていることを意味します。
まとめと対策への警鐘
この事件は、開発者や組織がオンラインツールを使用する際のセキュリティ意識の欠如、そしてデータ保護に対する責任の重要性を浮き彫りにしています。コード整形ツールや類似のオンラインサービスに機密情報をペーストする行為は極めて危険であり、厳に慎むべきです。
企業は、従業員に対するセキュリティ教育を徹底し、機密情報を外部ツールに入力しないよう指導するとともに、社内でのセキュアなコード管理および共有プラットフォームの利用を義務付ける必要があります。今回の事例は、外部攻撃対象領域管理の重要性を再認識させるものです。