TokyoBlackHatNews

gbhackers.com 4分で読了

CISA管理者がAWS GovCloud認証情報をパブリックGitHubリポジトリで公開したと報告されている

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)に関わる重大なセキュリティ上の不備が明らかになりました。契約業者がパブリックGitHubリポジトリに機密性の高いAWS GovCloud認証情報を公開したと報告されています。

セキュリティ研究者によって2026年5月15日に開示されたこのインシデントは、近年で最も深刻な政府関連のデータ漏洩の一つとされています。

AWS GovCloud認証情報を公開

公開されたGitHubリポジトリ「Private-CISA」は、政府サービス企業のNightwingに関連する契約業者によって管理されていました。GitGuardianの研究者によると、このリポジトリには以下を含む幅広い機密データが含まれていました。

  • 管理者権限を持つAWS GovCloudアクセスキー
  • CSVファイルに保存されたプレーンテキストのユーザー名とパスワード
  • 内部システムトークンと認証ログ
  • CISAのソフトウェア開発インフラストラクチャの認証情報

「importantAWStokens」というラベルが付けられたファイルには、少なくとも3つのAWS GovCloud環境へのアクセスを許可する認証情報が含まれていました。

Image

別のファイル「AWS-Workspace-Firefox-Passwords.csv」には、CISAの「Landing Zone DevSecOps」環境を含む複数の内部システムのログイン詳細が含まれていました。

研究者は、この公開が単なる偶然ではなく、不十分なセキュリティ慣行によってさらに悪化したことを指摘しています。リポジトリのコミット履歴からは、ユーザーがGitHubの組み込みシークレットスキャン保護を無効にしており、機密データが検出されずにアップロードされたことが明らかになりました。

  • 暗号化されずにプレーンテキストで保存されたパスワード
  • 弱いパスワードパターン(例:システム名+現在の年)
  • デバイス間のファイル同期ツールとしてのGitHubの使用
  • バックアップファイルと内部ログはリポジトリに直接コミットされている

Seralysの創設者Philippe Caturegli氏は、公開されたAWS認証情報の一部がまだ有効であり、テスト時に高レベルのアクセスが許可されたことを確認しました。

Image

また、内部アーティファクトリポジトリへのアクセスにより、攻撃者はソフトウェアビルドに悪意のあるコードを注入することが可能になり、サプライチェーンのリスクが生じる可能性があると警告しました。

タイムラインと公開期間

  • リポジトリ作成日:2025年11月13日
  • 公開被害が確認された:2026年5月
  • リポジトリは開示後まもなくオフラインになりました
  • AWSキーは削除後、最大48時間アクティブなままだったと報告されています

リークに関連するGitHubアカウントは2018年以来アクティブでした。これは長期間にわたる使用と繰り返される公開リスクの可能性を示唆しています。

CISAの対応と進行中の調査

Krebs on Securityによると、CISAはインシデントを認め、公開の調査を積極的に進めていると述べています。公式声明では、当局は現在、リークの結果として機密システムが侵害されたことを示す証拠がないと指摘しました。

しかし、このインシデントは内部セキュリティ管理に関する懸念を提起しています。特に、当局内での最近の人員削減を考えるとなおさらです。報告によると、CISAは従業員の約3分の1を失い、運用上の監視とセキュリティ実施に悪影響を与える可能性があります。

このインシデントは、公開されたクラウド認証情報と不十分なリポジトリ衛生管理がいかに迅速に重大なセキュリティリスクに悪化する可能性があるかを強調しています。AWS GovCloudキーへのアクセスを取得した攻撃者は、システム全体で水平移動し、機密インフラストラクチャにアクセスしたり、内部ビルド環境に悪意のあるコードを注入してソフトウェアサプライチェーンを操作したりする可能性があります。

プレーンテキストパスワードと弱い認証情報パターンの存在は、認証情報詰め込み攻撃および権限昇格攻撃の可能性をさらに高めます。悪用が確認されていない場合でも、公開期間そのものが永続的な脅威に対するハイリスク情況を生み出しています。

このようなリスクを軽減するために、組織はコードリポジトリと認証情報管理の周囲に厳格なセキュリティ管理を施行する必要があります。

これには、自動化されたシークレットスキャンの有効化、プレーンテキストファイルではなく安全なボルトを使用した機密データの保存、および公開された認証情報を迅速に無効にするための定期的なキーローテーションポリシーの実装が含まれます。

重大なシステムへのアクセスは最小権限の原則に従うべきであり、認証情報が侵害された場合の潜在的損害を制限します。さらに、継続的な監視、開発者セキュリティトレーニング、およびリポジトリアクティビティの監査は、同様のインシデントがエスカレートする前に検出と防止に役立ちます。

翻訳元: https://gbhackers.com/cisa-admin-reportedly-exposes-aws-govcloud-credentials/

ソース: gbhackers.com
#AWS GovCloud #CISA #GitHub #クラウドセキュリティ #サプライチェーン攻撃 #シークレットスキャン #セキュリティ脅威 #データ漏洩 #政府機関セキュリティ #認証情報漏洩

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚