セキュリティ
「external-secret-repo-creds.yaml」と「AWS-Workspace-Firefox-Passwords.csv」に何が入っているのか気になりますね?
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、「Private-CISA」という名前のGitHubリポジトリをオープンのままにしていました。そこには平文パスワード、秘密鍵、トークン、シークレットが含まれていたのです。「external-secret-repo-creds.yaml」や「AWS-Workspace-Firefox-Passwords.csv」といった明らかなファイル名で、6ヶ月間もオープンのままでした。
GitGuardian研究者のGuillaume Valadonは、Kubernetesのシークレットリーク対策に関する最近のトークについて触れた後、5月14日にこの公開リポジトリを発見し、『The Register』に対して「リークが深刻であり、時間がないことをすぐに理解しました。国家機関が844MBの本番インフラストラクチャマテリアルを6ヶ月間もGitHubの公開リポジトリに置いておくことは、シークレットリークと同じくらい深刻です」と語りました。
フランスのCISA同等機関であるANSSIで以前9年間を過ごしたValadonは、リークにはCISAの内部JFrog Artifactoryのトークン、Azureレジストリキー、AWSクレデンシャル、Kubernetesマニフェスト、ArgoCD アプリケーションファイル、Terraformインフラストラクチャコード、GitHubパーソナルアクセストークン、Entra IDのSAML証明書が含まれていたと述べています。
GitGuardianは5月14日にCISAにリークしたリポジトリを報告し、その翌日、庁がそれを削除しました。
CISA報道官は『The Register』に対して、報告を認識しており調査を進めていると述べました。「現在のところ、この事件の結果、機密データが漏洩したという兆候はありません」
国家インフォセック機関にとって良い見方ではありません。この機関は、トランプ政権発足以来、常勤の長がいない状態にあり、昨年のスタッフと予算の深刻な削減の上に、予算数億ドルの削減に直面しており、その間に恥ずかしいセキュリティ上の失策を被っています。
火曜日のブログで、Valadonは、述べたところによると、彼は最初このリポジトリを「ホックスだと思った。ディレクトリ名(Backup-April-2026/、All Backups/、LZ-Artifactory/、Kubernetes-Important-Yaml-Files/、ENTRA ID – SAML Certificates/…)、ファイル名(external-secret-repo-creds.yaml、CAWS GitHub Token.txt、Important AWS Tokens.txt、AWS-Workspace-Firefox-Passwords.csv、Kube-Config.txt…)、そしてそれらの内容(秘密鍵、個人用および業務用GitHubトークン、AWSシークレット…)があまりに都合よく見えたからです」とValadonは述べています。
これはホックスではなかったのです ─「サイバーセキュリティ・インフラストラクチャセキュリティ庁は、報告された暴露について認識しており、状況の調査を継続しています」 しかし、これは「安全でない実践のカタログ」であり、平文で保存されたパスワード、Gitにコミットされたバックアップ、GitHubのシークレットスキャンを無効にするための「明示的な」ハウツーガイドが含まれていたと述べています。
最初にCERT/CCポータル経由でリークを報告した後、5月15日朝(金曜日)時点での自動応答を受け取った後、ValadonはセキュリティジャーナリストのBrian Krebsに公開されたシークレットについて警告しました。これはCISAのプロセスを高速化したように見えました。その夜の東部標準時午後6時までに、連邦政府がリポジトリを削除しました。
Valadonは『The Reg』に対して、リポジトリを迅速に削除したCISAに信用を与えると述べています。「私たちのほとんどの責任ある開示ははるかに長くかかり、多くは修正されることはありません」と彼は述べています。「1日でリポジトリをオフラインにするために管理できることは印象的な仕事です。」
彼は、より良からぬ意図を持つ他の当事者がシークレットを最初に見つけたかどうかは知りませんが、リポジトリが一度もフォークされていないという事実(パブリックGitHubイベントに基づいて)は、それが暗黒面で広く流通していなかったことを示唆しているようです。
「確実に答えられるのはGitHubだけです」とValadonは述べました。GitHubは『The Register』の問い合わせにすぐには応答していません。
GitGuardianは、公開されたクレデンシャルが不正な個人によって悪用されているという認識がありません
「リポジトリ内のシークレットの各カテゴリは、特定の攻撃パスのロックを解除します」とValadonは述べています。「重ねられていると、彼らは全範囲をカバーしています。破壊的な攻撃とランサムウェア恐喝から、CISAのビルドおよびデプロイメントパイプライン内での静かで長期的な永続性まで。最後のシナリオが最も心配でした。そしてそれが、リポジトリがオフラインになるまで、私たちが持っていたすべてのチャネルを通じてエスカレートした理由です。」
さらに、コミッターは同じコミット全体でCISA発行の請負業者メールと個人用Yahooメールの両方を使用し、個人用GitHubアカウントを使用してリポジトリを作成しました。「その混合アイデンティティパターンは、セキュリティチームがカバーするのが最も難しい表面の1つであり、最悪のリークが発生する場所です」とValadonは述べています。®
それを養う手を噛む
