セキュリティ
「external-secret-repo-creds.yaml」と「AWS-Workspace-Firefox-Passwords.csv」に何が入っているのか気になります。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、「Private-CISA」という名前のGitHubリポジトリをオープンのままにしていました。このリポジトリには、平文パスワード、秘密鍵、トークン、シークレットが含まれており、「external-secret-repo-creds.yaml」や「AWS-Workspace-Firefox-Passwords.csv」などの明らかなファイル名がついており、6ヶ月間も公開されていました。
GitGuardianの研究員ギヨーム・ヴァラドン氏は、最近Kubernetesシークレットリークに関する講演を終えたばかりで、5月14日にこのパブリックリポジトリを発見し、The Registerに次のように述べました。「このリークが深刻であること、そして時間がないことをすぐに理解した。国家機関が844MBの本番インフラストラクチャ資料を公開GitHubリポジトリに6ヶ月間保持していることは、シークレットリークと同じくらい深刻な事態である。」
フランスのCISA相当機関ANSSIで9年間勤務していたヴァラドン氏は、このリークにはCISAの内部JFrog Artifactoryのトークン、Azureレジストリキー、AWS認証情報、Kubernetesマニフェスト、ArgoCD アプリケーションファイル、Terraformインフラストラクチャコード、GitHubパーソナルアクセストークン、Entra ID SAMLサーティフィケートが含まれていたと述べました。
GitGuardianは5月14日にこのリークしたリポジトリをCISAに報告し、その機関は翌日にそれを削除しました。
CISA報道官はThe Register に対し、報告を認識していて調査中であると述べました。「現在のところ、このインシデントの結果として機密データが漏洩したという兆候はありません。」
これは国家のインフォセックス機関にとっていい見方ではありません。同機関はトランプ政権発足以来常勤の長を持っていない状態が続いており、数億ドルの予算削減に直面しており、それは昨年のスタッフと資金への深刻な削減に加えてのことであり、その間に恥ずかしいセキュリティミスを経験しています。
火曜日のブログで、ヴァラドン氏は述べたように、最初はこのリポジトリを「ホアックスではないかと思った。ディレクトリ名(Backup-April-2026/、All Backups/、LZ-Artifactory/、Kubernetes-Important-Yaml-Files/、ENTRA ID – SAML Certificates/ …)、ファイル名(external-secret-repo-creds.yaml、CAWS GitHub Token.txt、Important AWS Tokens.txt、AWS-Workspace-Firefox-Passwords.csv、Kube-Config.txt …)、そしてそれらの内容(秘密鍵、個人および職務のGitHubトークン、AWSシークレット、…)が疑わしく見え、本当とは思えなかったから」と述べました。
これはホアックスではありませんでした。「サイバーセキュリティ・インフラストラクチャセキュリティ庁は報告された露出に気づいており、引き続き状況を調査しています」とのことですが、それは「安全でない慣行のカタログ」であったと彼は付け加えました。平文で保存されたパスワード、Gitにコミットされたバックアップ、そしてGitHubのシークレットスキャンを無効にするための「明示的な」ハウツーガイドが含まれていました。
最初CERT/CCポータル経由でリークを報告し、5月15日朝(金曜日)の時点で自動確認応答を受け取るだけでしたが、ヴァラドン氏はセキュリティジャーナリストのブライアン・クレプス氏に公開されたシークレットについて警告を発し、これはCISAのプロセスを加速させたようです。その夜の午後6時ESTまでに、連邦政府はリポジトリを削除しました。
ヴァラドン氏はThe Regに対し、リポジトリを迅速に削除したことでCISAに好意を示したと述べました。「責任ある開示の大部分はもっと長くかかり、多くは決して修正されません」と彼は述べました。「リポジトリを1日でオフラインにすることに成功したのは素晴らしい仕事です。」
利他的でない意図を持つ他の当事者が最初にシークレットを見つけたかどうかは彼は知りませんが、リポジトリがフォークされたことがない(公開GitHubイベントに基づいて)という事実は、ダークウェブ上で広く流通していなかったことを示しているようです。
「確実に答えられるのはGitHubだけです」とヴァラドン氏は述べました。GitHubはThe Registerの問い合わせにはすぐに対応しませんでした。
GitGuardianは、露出したクレデンシャルのいずれかが無許可の個人によって悪用されたことを認識していません
「リポジトリの各カテゴリのシークレットは特定の攻撃パスのロックを解除します」とヴァラドン氏は述べました。「それらを重ねると、破壊的な攻撃とランサムウェア恐喝からCISAのビルドと展開パイプライン内での静かで長期的な永続化まで、フルレンジをカバーしています。最後のシナリオが私を最も心配させ、リポジトリがオフラインになるまで私たちが持っていたすべてのチャネルを通じてエスカレートした理由です。」
さらに、コミッターは同じコミット全体でCISA発行の請負業者メールと個人のYahooメールの両方を使用し、個人のGitHubアカウントを使用してリポジトリを作成しました。「その混合アイデンティティパターンはセキュリティチームがカバーするのが最も難しい表面の1つであり、最悪のリークが発生する場所です」とヴァラドン氏は述べました。®
それを養う手を噛む
