AWS GovCloudの認証情報漏えいを受け、CISAが重大サイバーインシデントの教訓を公表

米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、公開コードリポジトリでAWS GovCloudの認証情報が露出した内部セキュリティインシデントの詳細を公表しました。連邦機関が自らのサイバーセキュリティ上の失態にどう対応するのか、その実態を垣間見せる異例の透明性です。

このインシデントは5月15日金曜日、ある調査報道記者が「Private-CISA」という名称の一般公開リポジトリ内で発見されたCISA内部のAWS GovCloudキーについてCISAに問い合わせたことから発覚しました。

公開コードリポジトリを常時スキャンして露出した機密情報を検出しているセキュリティ企業の研究者がこの漏えいを発見し、記者に通報しました。その後の調査で、当該リポジトリは2025年11月以降監視されていなかったことが判明し、約6カ月間にわたり継続的に露出していたことになります。

通報を受けたCISAの最高情報責任者(CIO)室は迅速に対応し、リポジトリを直ちにオフラインにするとともに、分析用のフォレンジックコピーを保全しました。

調査担当者は、このリポジトリがCISAの公式GitHub組織の一部ではなく、ある契約業者個人のアカウントであったことを突き止めました。

CISAは即時封じ込め策として、開発環境もオフラインにし、関連する認証情報をリセットするとともに、当該人物のシステムアクセス権を剥奪しました。

フォレンジック分析の結果、この契約業者は自律的なクラウドインフラ構築を可能にするため、Infrastructure as Codeやビルドスクリプトを含むCISAのビルド・デプロイ用リポジトリのコピーをアップロードしていたことが判明しました。露出したファイルには次の情報が含まれていたとされています。

AWS GovCloudサーバーの管理者権限を持つ認証情報に加え、内部システムの平文のユーザー名とパスワードです。

深刻な内容ではあったものの、ログ分析により、漏えいした認証情報がCISAの環境外で使用された形跡はなく、顧客データや業務データが侵害されることもなかったことが確認されています。

CISAは、露出した特定のキーのみに対応を限定するのではなく、当該人物が管理者権限を保有していたすべての環境で認証情報を一斉にローテーションしました。また、コードリポジトリの許可・拒否リストを厳格化し、開発システムを復旧させる前に、ユーザーが公開リポジトリへアップロードできる権限を制限しました。

研究者らは、より根本的な問題はアーキテクチャにあると指摘しています。長期間有効な静的な機密情報は、個人のリポジトリにコピーできるような永続的な文字列としてそもそも存在させるべきではないと述べています。

CISAの事後レビューでは、いくつかの強みも浮き彫りになりました。外部研究者からの報告を真摯に受け止めたこと、ゼロトラストの原則を本番システムだけでなく開発環境にも適用していたこと、そして迅速な調査を可能にする堅牢なログ機能を維持していたことなどです。

一方でCISAは、明確な不備も認めています。当時は専用のGitHubおよびクラウドインシデント対応プレイブックが整備されておらず、これが初動対応の遅れにつながったこと、さらに報告経路が曖昧であったため、通報者が複数の手段を試さざるを得なかったことです。

CISAはさらに、連邦政府や業界との複雑な相互接続を考慮すると、暗号鍵のローテーションに想定より時間を要したことを認めており、成熟した実証済みの鍵管理能力の必要性を浮き彫りにしています。

自らの失策を含めて詳細を公表するというCISAの姿勢は、インシデント情報の共有が集団的なサイバー防御を強化するという同庁のかねてからのメッセージを裏付けるものです。

同庁は、セキュリティインシデントは「起きるかどうか」ではなく「いつ起きるか」の問題であると強調し、他の組織に対してもこの情報公開を、開発環境の強化、認証情報管理の厳格化、インシデント報告フローの明確化に向けた実践的な指針として活用するよう呼びかけています。

翻訳元: https://cyberpress.org/aws-govcloud-credential-leak-prompts-cisa/

ソース: cyberpress.org