議会民主党は、GitHubでの機密認証情報データの公開に関するサイバーセキュリティ・インフラストラクチャセキュリティ局(CISA)からの回答を求めています。この事件を発見したセキュリティ研究者は、これまで見た中で最悪のリークの一つだと述べています。
他のセキュリティ専門家も火曜日、このリークと、この情報を得たあらゆる悪意のある者による悪用の可能性について懸念を表明しました。
セキュリティ企業GitGuardianは、先週、11月までさかのぼるPrivileged AWS GovCloudアカウントと内部CISAシステムの認証情報を露出させたパブリックGitHubリポジトリを発見したと述べています。リポジトリは請負業者により管理されていたようで、「Private-CISA」という名前でした。
Krebs on Securityが最初にこのインシデントを報告しました。
「私の主な懸念は…国家行為者がこのデータを入手し、悪いことをできるかもしれないことです」と、GitGuardianセキュリティ研究者のGuillaume Valadonは、CyberScoopに述べました。彼はリークが本物であると結論づけた後、自分自身にこう思ったとのこと。最初は偽物に見えると思ったと述べています。
認証情報を取得した国家行為者は「永続的なアクセスを獲得できるかもしれない」とValadonは述べ、「だから私にとっては、攻撃者がすべてを破壊するよりも悪く、政府システムに誰かがいること—それは本当に、本当に悪いことです」と付け加えました。
国土安全保障委員会のトップ民主党員であるミシシッピ州下院議員ベニー・トンプソン氏と、同委員会のサイバー小委員会のトップ民主党員であるデリア・ラミレス氏は、火曜日にCISAの代行事務局長ニック・アンダーセン氏に書簡 で説明を求めました。
彼らは「この深刻なセキュリティ上の失敗がどのように発生したか、潜在的なセキュリティ上の結果、修復活動、関係する請負業者人員に関する是正措置、および将来同様の活動が発生するのを防ぐための監視と防止の取り組み」について知りたいと述べました。
D-N.H.のマギー・ハッサン上院議員も火曜日にアンダーセン氏に書簡を送り、どのシステムが露出したか、潜在的な損害を評価するためにCISAが行ったフォレンジック作業、および実施した是正措置についての質問に答えるための極秘説明を求めました。
「この報告されたインシデントは、サイバー侵害を防ぐのを助けるために担当されている機関において、このようなセキュリティ上の失敗がどのように発生し得るかについて深刻な疑問を生じさせます」とハッサンはAxiosによって最初に報告された書簡で書き、特に「米国の重要インフラに対する重大なサイバーセキュリティ脅威の時期におけるCISAの内部ポリシーと手順に関して」と付け加えました。
両書簡は、機関での人員および予算削減をインシデントの潜在的な寄与者として指摘しました。
CISAは何が起こったのかを調査していると述べました。
「サイバーセキュリティ・インフラストラクチャセキュリティ局は、報告された露出を認識しており、状況の調査を継続しています」とスポークスパーソンは述べました。「現在、このインシデントの結果として機密データが危険にさらされたという兆候はありません。私たちはチームメンバーに最高の誠実性と運用意識の基準を持つよう求めていますが、将来の発生を防ぐための追加のセーフガード導入を確保するために取り組んでいます。」
リポジトリはNightwingの請負業者によって管理されていたと伝えられています。Nightwingのスポークスパーソンは質問をCISAに委ねました。
CISAで発生した露出の種類は「残念ながら痛いことですが、一般的で繰り返される、あるいは絶え間ない方法であり、組織が誤ってきわめて機密の認証情報をより広いウェブに漏らすのを見ます」と、このような露出の検出を支援するWatchTowrの創設者であるベン・ハリスは述べました。
ハリスはCyberScoopに、認証情報を得た攻撃者がそれをどのようにすることができるかについて推測したくないが、研究者が理論化したように、請負業者が仕事から家に情報を転送していた場合、それは「恐ろしい」ものになるだろうと述べました。
Infobloxの脅威インテリジェンス上級ディレクターであるデイブ・ミッチェルはCyberScoopに、このインシデントはチームが彼らのリポジトリ全体にコントロールと監査を導入することの重要性を示したと述べました。
「私を夜に起こさせるすべてのもの中で、GitHubの設定ミスは繰り返される悪夢です。それは多くの組織にとって重要です—1つの偶然のアップロードまたは設定ミスですべてが変わり、メジャーインシデントに直面することになります」と彼は書面で述べました。「キーがすでにテーブルの上に置かれているのであれば、脅威行為者があなたを危険にさらすために高度な技術を使う必要はありません。」
Rubrikの公共部門最高技術責任者であるトラヴィス・ロシェク氏は、問題のタイミングが最近DHSで解決した政府閉鎖と一致したと述べました。彼はインシデントが連邦政府がレジリエンスを優先する必要があることを示したと述べました。
「サイバーセキュリティ才能の持続的な不足は、資金上の隙間、高い労働力回転率、および増加し続ける脅威の風景と組み合わさって、このシナリオのための完璧な嵐を作成しました」と彼はCyberScoopへの書面で述べました。「どの組織も免疫がなく、国の重要インフラの保護を助けることと私たちのサイバーセキュリティの姿勢を強化することを担当する連邦政府が、年間365日24時間7日完全に運用され続けることを確保する必要があります。」
インシデントの重大性を過小評価することなく、リークを調査した何人かの研究者は、状況を緩和する要素があり、それのいくつかは防衛可能であるか、少なくとも理解できると述べました。
リークについて彼らに警告した後、CISAはリポジトリを削除するために非常に迅速に行動したと、Valadonは述べました。
CISAが適切なポリシーを持っていても、人的エラーはこのようなインシデントを完全に回避することを困難にすることができると、ハリスは述べました。
「現実は、これがサイバーセキュリティ企業を含むさまざまな組織に毎日発生することです」と彼は述べ、パターンであったら異なるだろうと述べました。「これはCISAに限定されていません。私たちがCISAで毎日これを見た場合、それはよく反映されるとは思いません。…それが一度発生したさえも理想的ではありませんが、現実はサイバーセキュリティは人、プロセス、技術です。」
CISAは過去に、最近を含むその他のセキュリティインシデントを経験しています。機関の元代行事務局長は昨年ChatGPTに機密契約データをアップロードしたことで批判を耐えました。2024年に、機関は議会に化学プラント安全ツールの侵害を通知しました。
翻訳元: https://cyberscoop.com/cisa-credential-leak-congress-demands-answers/
