3分読了
出典:PJ McDonnell via Alamy Stock Photo
最近では、あらゆる組織がインターネット上に機密情報を露出させているようです。米国政府さえも例外ではありません。
GitGuardian研究者のGuillaume Valadon氏は本日、サイバーセキュリティ・インフラセキュリティ庁(CISA)に属する公開GitHubリポジトリを発見したと明かしました。このリポジトリには、平文パスワード、認証トークン、その他の機密情報を含む844MBの機密データが含まれていました。「Private-CISA」という名前にもかかわらず、このリポジトリは2025年11月13日以来、オンラインで公開アクセス可能でした。
GitGuardianのブログ記事で、Valadon氏は、GitGuardian の Public Monitoring(GitHubなどの公開ソースを継続的にスキャンして流出した機密情報をフラグ付けするサービス)が前日にリポジトリをフラグ付けした後、5月14日に露出したリポジトリを最初に発見したと述べました。内容を確認した後、リポジトリの内容が「本当すぎて信じられない」ように見えたため、最初はそれが詐欺だと疑いました。
残念ながら、このリポジトリは実在し、その中に含まれる機密情報も本物でした。CISAの失策は、組織が機密情報の拡散を制御できず、誤ってインターネット上に機密データセットを露出させるという不幸なトレンドの最新の例となっています。そこで待機している脅威行為者たちはそれをすぐに入手する準備ができています。
攻撃者が「クラウドインフラへの詳細なビュー」を獲得
Valadon氏が発見したリポジトリには、「Important AWS Tokens.txt」や「ENTRA ID – SAML Certificates/」を含む注目すべきディレクトリ名とファイル名が含まれていました。実際、このリポジトリには、これらのトークンとSAML証明書だけでなく、平文パスワード、秘密鍵、その他の認証情報が含まれており、その一部はまだ有効でした。
さらに、このリポジトリはCI/CDビルドログ、デプロイメントワークフロー文書、Kubernetesマニフェスト、GitHub Actionsワークフロー、GitHub組織の自動化、およびユーザーアカウント、アイデンティティとアクセス管理(IAM)データ、サービスアカウント、シークレット管理パスなどのAWSデータを多く含んでいました。
「露出した素材は、クラウドインフラ、デプロイメントワークフロー、ソフトウェアサプライチェーンツール、および内部運用慣行の詳細なビューを提供しました」とValadon氏は述べました。
Dark ReadingはコメントについてCISAに連絡しましたが、公開時点では当局からの応答がありませんでした。
このリポジトリがオンラインで6ヶ月間稼働している間に、機密情報にアクセスされたかどうかは不明です。研究によると、攻撃者はGitHubリポジトリなどのクラウド資産を監視して露出した機密情報を探し、データがオンラインになると数分以内に対応することができます。
Valadon氏はDark Readingに対し、外部ビューは限定的であるため、「決定的な回答にはGitHubの協力が必要になる」と述べています。
「外部から見ることができるのは、リポジトリが公開GitHubイベントに基づいてフォークされたことがないということです。それがリポジトリが広く流通していないという弱いが実際のシグナルです」と彼は言います。「外部からクローンを監視することはできないため、個人がコピーをダウンロードしたという可能性を排除することはできませんが、これは推論であり、確認ではありません。」
CISAのハイリスク慣行が露出につながった
朗報は、CISAに警告した後、同庁が24時間以内にリポジトリを削除したことです。ただし、Valadon氏は、サイバーセキュリティジャーナリストのBrian Krebs氏が当局の関係者と連絡を取り、問題をエスカレーションしたことが助けになったと指摘しました。
「CISAが迅速に対応してくれたことに感謝します。ほとんどの開示はこれより長くかかり、修正されないものもあります」とValadon氏は述べました。
悪いニュースは、CISAの職員が危険な行為に従事していたということです。「リポジトリは安全でない慣行のカタログでした:平文パスワード、Gitにコミットされたバックアップ、およびGitHubのシークレットスキャンを無効にする明示的な指示」と彼は述べました。
Valadon氏はDark Readingに対し、リポジトリの分析に基づくと、最も可能性の高い説明は、一部のコミットにハードコードされた機密情報が含まれていたため、GitHubのプッシュ保護機能がプッシュをブロックしていたということです。「機密情報を削除する代わりに、誰かがコントロールを無効にする方法を文書化したため、コミットが通過するようになりました」と彼は言います。
これはValadon氏が付け加えるに、成熟した組織が避ける悪い慣行です。代わりに、GitHubのシークレットスキャンやGitGuardianのプッシュ保護サービスなどのセキュリティ機能を「交渉不可能なコントロール」として扱っています。
「私たちが見るパターンは、期限の圧力を受けた個別の開発者がプッシュに失敗したときにそれをオフにすることです。正しい対応は、検出器ではなく、コミットから機密情報を削除することです」と彼は言います。
露出したリポジトリは、第2次トランプ政権下でのCISAの予算と人員の大幅削減に続いています。昨年の時点で、当局は従業員の約3分の1を失い、ホワイトハウスの会計年度2027年度予算案はCISAの資金を7億ドル以上削減することでしょう。
翻訳元: https://www.darkreading.com/cybersecurity-operations/cisa-exposes-secrets-credentials-private-repo
