5月に発生した大規模な認証情報漏えいを受けて、Cybersecurity and Infrastructure Security Agency(CISA)は機密資料の保護策を強化するとともに、研究者が同庁の脆弱性を報告しやすい体制を整え、同様のインシデントに備えた計画を策定したことを、木曜日に公開したフォレンジック報告書の中で明らかにしました。
このブログ投稿は、5月にこの漏えいを発見した研究者が「これまで見た中でも最悪の部類」と評し、議会の追及も招いた事案に対するCISAの対応をまとめたものです。
代理最高情報責任者(CIO)のPreston Werntz氏と代理最高情報セキュリティ責任者(CISO)のBrad Libbey氏は、次のように記しています。「インシデント対応活動の経験を共有することは、他組織が同様の経験から学び、自らの環境で同種のインシデントが発生するのを防ぐために必要な予防策を講じる助けになります。CISAはこれまでも、この種の情報交換がトレンドの把握や国全体の意識向上に不可欠だと訴えてきました。今回は、私たちがその番です」
5月15日、CISAは委託先の担当者がAmazon AWS GovCloudの特権的な鍵情報を公開GitHubリポジトリ上に漏えいさせていたことを把握し、これ以上の被害を食い止めるための措置を講じたとしています。具体的には、当該リポジトリとその開発環境をオフラインにし、漏えいの原因となった人物のアクセス権を剥奪しました。
その後CISAは、漏えいの範囲を把握するためリポジトリを分析しました。あわせてログファイルも解析し、漏えいした認証情報がCISA外部で使用された形跡がないこと、また顧客データやミッションデータの露出もなかったことを確認しています。
ブログ投稿によれば、今回の対応がうまくいった背景には、報告されたインシデントを真摯に受け止めたこと、優れたログ取得能力を備えていたこと、そしてゼロトラストの原則を採用していたことがあるといいます。
一方で、いくつかの改善すべき点も明らかになりました。
CISAはエンドポイント検知・対応(EDR)機能を活用し、公開リポジトリへのアップロードを監視・管理する方針を決定しました。また、今回のインシデントを受けてすべてのシークレット(秘密情報)をローテーションし、シークレット管理を改善する計画も策定しています。
さらに、CISA自体に関連する脆弱性を報告しやすくすることも決定しました。米国および世界全体のサイバーリスクに関する情報交換のハブという立場上、CISAに限定されない脆弱性に関する情報を受け付ける体制はもともと整っていたとブログ投稿は指摘しています。
CISAはまた、GitHub関連インシデント向けのプレイブックをインシデント対応の最中に急いで作成する必要があったとも述べており、あらゆる種類のインシデントに備えて事前にプレイブックを整備しておく必要性を認識したとしています。
この漏えいを発見したGitGuardianのセキュリティ研究者Guillaume Valadon氏は、CISAによる今回の検証を評価しています。
同氏はCyberScoopに対し、メールで次のように述べています。「本当によくできていると思います。CISAは何が起きたのか、何がうまくいったのか、そして何を改善すべきなのかをきちんと説明できています。この最後の部分、つまりシークレットスキャンを推進し、研究者との関係を簡素化しようとする姿勢を打ち出したのは、私の知る限り国のサイバーセキュリティ機関としては初めてのことです」
これはValadon氏とそのチームが以前から話題にしていたことであり、同氏は「それがCISAにも認識されていると知り、誇らしく思う」と語りました。
翻訳元: https://cyberscoop.com/cisa-credential-leak-forensic-report/