米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、AWS GovCloudの認証情報が流出した内部セキュリティインシデントの詳細を公開しました。自らのインシデント対応の経緯を透明性を持って示すことで、他組織の防御力強化に役立てる狙いがあります。
5月15日金曜日、CISAの最高情報責任者室(OCIO)は、調査報道記者からCISAのAWS GovCloudの鍵およびその他の機密データが公開リポジトリで露出していると指摘を受け、内部調査を開始しました。
ComputerScience
この情報提供は、公開コードリポジトリを継続的にスキャンして流出した秘密情報を検出している企業のセキュリティ研究者に端を発しています。
独自の報道によると、流出が確認されたアーカイブは「Private-CISA」という名称の公開GitHubリポジトリで、業務委託先であるNightwing社の従業員が管理していたものであり、2026年11月から公開状態のまま放置されていたと伝えられています。
AWS GovCloudの認証情報漏洩
このリポジトリはCISA公式のGitHub組織には属しておらず、業務委託先の担当者個人のアカウントでした。中にはCISAのInfrastructure as Codeやビルド自動化スクリプトのほか、クラウドインフラを自律的に構築するためにコピーされた管理者用およびビルド用の認証情報も含まれていました。
流出したファイルの一つには、3台のAWS GovCloudサーバーの管理者認証情報が含まれていたと報告されています。また別のファイルには、CISA内部の多数のシステムに関する平文のユーザー名とパスワードが記載されていました。
CISAのOCIOは3つの対応フェーズを経て事態に当たりました。封じ込め段階では、公開リポジトリをオフライン化してフォレンジック分析用に保全し、開発環境を無効化した上で認証情報をリセットし、当該担当者のシステムアクセス権を剥奪しました。
影響範囲の評価段階では、調査担当者が漏洩元は個人のリポジトリであり、公式インフラではないことを確認しました。ただし、そこには稼働中のインフラコードと認証情報が含まれていました。
影響分析の結果、流出した認証情報がCISAの環境外で使用された形跡は見つからず、顧客データやミッションデータの流出もないことが判明しました。
是正措置は流出した鍵にとどまらず、CISAは当該担当者が管理者権限を持っていたすべての環境で認証情報を一斉にローテーションし、コードリポジトリに対する許可リスト・拒否リストを厳格化しました。さらに開発システムを復旧させる前に、公開リポジトリへのコードプッシュ権限をユーザーに対して制限しました。
CISAの事後検証では、いくつかの注目すべき強みが浮き彫りになりました。研究者と記者による迅速な情報提供が迅速な封じ込めにつながり、外部からの通報体制が有効に機能したことが示されました。
ゼロトラストの原則を本番環境だけでなく開発環境にも適用していたことが、可視性と早期検知の面で重要な役割を果たしました。強固なロギング体制の成熟度により、CISAのセキュリティオペレーションセンター(SOC)はインシデントを正確に追跡できるだけのフォレンジック的な深度を確保できていました。
一方で、公開リポジトリへのアップロード制御は不十分であったことが判明し、エンドポイント検知・対応(EDR)ツールによる強制策の導入が進められています。プライベートリポジトリにおける秘密情報管理も強化が必要であり、いかなるリポジトリにもハードコードされた認証情報を含めるべきではないとしています。
CISAにはクラウドおよびGitHub関連インシデント専用のプレイブックが存在せず、対応担当者は危機の最中にその場でプレイブックを作成せざるを得ませんでした。報告経路が不明確だったことから、当該研究者は業務委託先への直接連絡やCISAの脆弱性開示プラットフォームの利用など、複数の連絡手段を試した末にようやく記者へたどり着いています。
同庁は現在、こうした連絡経路を一本化し、連絡手順をより目立つ形で公開する取り組みを進めています。CISAはさらに、相互接続されたシステムの複雑さゆえに暗号鍵のローテーションに想定以上の時間を要したことにも言及しており、鍵の俊敏性が基盤的なセキュリティ対策として重要であることを改めて浮き彫りにしました。
今回のインシデントを公に詳細開示することで、CISAは自らが長年他組織に求めてきた透明性を体現しようとしています。同庁が述べているように、サイバーセキュリティインシデントは「起こるかどうか」ではなく「いつ起こるか」の問題であり、インシデント後の情報を率直に公開することは、業界全体のレジリエンス向上や検知能力の成熟、防御者間の信頼強化につながります。
翻訳元: https://gbhackers.com/aws-govcloud-credential-leak-leads-cisa/