ノボ ノルディスクで最近発生した大規模とみられる情報漏えいは、攻撃者が単一のGitHubアクセストークンを足がかりに侵入したと報告されており、コードリポジトリや開発者環境が、知的財産・認証情報・ソフトウェアサプライチェーン資産を狙う攻撃者にとっての主戦場となっている実態を改めて浮き彫りにしています。
オゼンピックやウゴービといったブロックバスター薬で知られるデンマークの製薬大手ノボ ノルディスクは、「限られた数の社内ITシステム」への不正アクセスを検知したとして、6月11日にこの情報漏えいを公表しました。
開示内容を上回る大規模漏えいの可能性
同社の発表によると、攻撃者は臨床試験に参加した非公開の人数に上る患者の仮名化データにアクセスしました。その内容には、患者ID、性別、生年月日、バイオマーカー、健康・免疫原性データ、喫煙・飲酒といったライフスタイルに関する情報が含まれています。
また、ノボ ノルディスクに関連する医療従事者のデータも被害を受けており、氏名、登録番号、勤務先所在地、メールアドレス、電話番号、WhatsAppの連絡先情報が含まれていました。ノボ ノルディスクは「流出したデータの性質を踏まえると、インシデントの潜在的な影響として、メール・電話・WhatsAppを通じた標的型フィッシング、あるいは同僚を装った詐欺的な通信が挙げられる」と警告しています。
しかし、今回の攻撃の犯行声明を出した脅威グループ「FulcrumSec」が提供した詳細によると、漏えいの規模はノボ ノルディスクが公表した内容をはるかに上回り、より深刻な被害をもたらした可能性があります。
同グループがDataBreaches.Netに提供した情報によると、攻撃者は製薬会社のネットワーク内に2か月以上潜伏し、2,500万ドルの身代金を要求する前に70万件を超えるファイル(約1.3TBのデータ)を外部に持ち出したとされています。
盗まれた情報には、ソースコード、販売中および未発売薬に関する独自情報、臨床試験・研究データ、社内AIモデル、製造業務と生産技術に関する記録、医療従事者の記録、そして約11,500名の仮名化された臨床試験参加者に関する情報が含まれていました。ノボ ノルディスクが要求された身代金の支払いを拒否したとみられることを受け、FulcrumSecは入手したと主張するデータの一部を公開し始めています。DataBreaches.Netは「FulcrumSecは、流出データとAIが生成した分析結果により、他の研究者や競合他社は3〜5年分のプログラム開発を省略できると考えている」と指摘しています。
GitHubトークン一つが招いた侵害
FulcrumSecは、3月に「あまり知られていないサブドメインのクライアントサイドJSに埋め込まれた、高い権限を持つGitHubの個人用アクセストークン」を通じてノボ ノルディスクへの初期アクセスを取得したと主張しています。その後、このアクセストークンを使ってプライベートリポジトリのクローンを作成し、追加の認証情報を収集。それを足がかりにノボ ノルディスクのネットワークとシステムの深部へと侵入を拡大したとみられています。
ノボ ノルディスクはこれまでのところ、漏えいの全容を公式に認めていません。FulcrumSecが犯行声明を出した今回の侵害に関するDark Readingのコメント要求にも、また「TheUSERS007」と名乗る別の脅威グループによる2件目の独立した侵害に関するコメント要求にも、同社は回答しませんでした。TheUSERS007はDataBreaches.Netとのやり取りの中で、6月5日から7日にかけてノボ ノルディスクに侵入し、同製薬会社のAI関連の取り組みに関するデータを盗んだとする情報を提供しています。
マネージドサービスプロバイダーMagna5のCISO(最高情報セキュリティ責任者)を務めるマット・キンペル氏は、今回のインシデントの報告が、開発者と開発環境がいかに攻撃者にとって高価値な標的となっているかを示す事例であると指摘しています。「開発者は最も重要なシステムのすぐ近くに位置しています。彼らはソースコード、ビルドおよびデプロイメントパイプライン、クラウド環境、そしてそれらのシステムが互いに通信するために使う認証情報に常時アクセスできます」と同氏は述べています。
高価値かつ手薄なターゲット
開発プラットフォームはいつの間にか企業内で最も高価値なシステムの一つとなりつつありますが、ほとんどのセキュリティプログラムはその変化に追いついていないとキンペル氏は指摘しています。たとえばソースコードリポジトリは、もはや単にソースコードが保存される場所ではありません。インフラの定義、デプロイメントパイプライン、下流システムとの統合、そして環境の構成を説明するドキュメントも格納されています。「攻撃者にとって、コードリポジトリへの侵入はファイルキャビネットを開けるというより、建物の設計図を手に入れるようなものです」とキンペル氏は述べています。
AIを活用した開発は、コード作成の量とスピードを高めることでリスクを加速させると同時に、許可されていないツールやワークフローを通じて機密データやシークレット情報が漏えいする新たな機会を生み出しているとキンペル氏は言います。APIトークン、サービスアカウント、その他のマシン認証情報は特に標的にされやすく、その理由として、数が多く高い権限を持つこと、組織がインベントリ化・監視することが難しいこと、そしてローテーションされないまま長期間存在し続けることが多い点が挙げられます。
「これらのプラットフォームは、開発者ツールとしてではなく、本番システムとして扱われるべきです」と同氏は主張します。「あらゆるものの上流に位置しているのですから」。ブランチ承認、コードレビュー、パイプラインゲートといった標準的な保護策は、すべて正しいアイデンティティが作業を行っているという前提に立っています。つまり、攻撃者が信頼された開発者として動作し始めると、同じ制御機構が攻撃者にも同様に機能してしまうと同氏は指摘します。「ほとんどの組織が間違っているのは、シークレット管理をアイデンティティの問題ではなく、ツールの問題として扱っている点です」
Keeper SecurityのCISOを務めるシェーン・バーニー氏も、コードリポジトリは企業のセキュリティにおいて最も影響の大きいブラインドスポットの一つとなっていると同意しています。ハードコードされた認証情報、コミットされたトークン、不適切なスコープが設定されたアクセスキーがリポジトリ、CI/CDパイプライン、設定ファイルにひっそりと蓄積されることは珍しくありません。人間のアカウントとは異なり、マシン認証情報には明確なオーナー、一貫したローテーションスケジュール、あるいは実質的な監視機能がほとんど備わっていません。一度プロビジョニングされると、大部分はそのまま忘れ去られてしまうと同氏は言います。「その見えにくさこそが、一つの露出したトークンを数か月にわたる侵入に変えてしまうのです」とバーニー氏は指摘します。「マシン認証情報が広範な権限を持ち、誰も監視していない場合、それを発見した攻撃者は権限昇格や慎重な横移動を必要としません。アクセス権限はすでにそこにあるのです。その認証情報の影響範囲が、すなわち侵害の範囲です」
このリスクを軽減するための正しいアプローチは、シークレット管理を集中化し、環境内のすべてのアイデンティティに対して最小権限を一貫して適用し、認証情報がその目的を静かに超えて存在し続けないよう自動ローテーションを有効にすることです。「その規律はリスクを排除するものではありませんが、攻撃者が発見したものと実際に行使できる権限のギャップを縮めます」
リスク軽減に向けた対策
Oasis Security IdentityのリサーチヘッドであるEd Luz氏は、今回のインシデントは、開発者のエンドポイントやIDE、リポジトリ、CI/CDパイプラインを含む開発環境が、本番環境へのアクセスを持った状態で構成されることが多いという事実を改めて示していると述べています。これらの環境からのアクセスや利用状況はマッピングして監視する必要があり、機密性の高いキーは指定された管理場所に保管し、定期的にローテーションすべきだとしています。「ここで最も重要なポイントが二つあります」とLuz氏はノボ ノルディスクの侵害について述べています。「一つ目は侵入経路、つまり一つのGitHubアクセストークンです。二つ目は横移動、つまりリポジトリ自体の中に存在していた追加の認証情報です。攻撃者はペリメーターを突破したのではなく、認証済みとして動作していたのです」
キンペル氏は、組織が取り組みを始める最善の出発点として、非人間アイデンティティのインベントリを維持し、環境内に何が存在するかを確実に把握することを推奨しています。「そこから先の優先事項は明確です。ワークロードが許す限り有効期間の長いシークレットを排除し、スコープを積極的に絞り込み、カレンダーではなく実際のサイクルとシグナルに基づいてローテーションすることです」と同氏は言います。「マシンのアイデンティティも、人間のアイデンティティと同様の方法で監視し、通常の動作をベースラインとして設定した上で、逸脱があればアラートを発することが重要です」
翻訳元: https://www.darkreading.com/cyber-risk/novo-nordisk-breach-exposes-dev-pipeline-risk
