セキュリティ企業による発見が、企業におけるオンラインツールの広範な安全でない利用を明らかにした。
セキュリティ企業watchTowrの発見によると、開発者が2つの人気コードフォーマットサイトを利用したことで、大量の機密認証情報、認証キー、設定データ、トークン、APIキーが潜在的に露出していた。
通常は犯罪行為を懸念する業界において、watchTowrの調査は、JSON FormatterやCode Beautifyといったコードユーティリティサイトに関して、まったく異なる問題に光を当てている。それは、開発者がうっかりサードパーティのウェブサイトにデータを残すことで情報が漏洩する可能性があるという点だ。
これら両サイトは、開発者がJSONやコードの整形、コードチェックやデバッグ、データ変換など、幅広いコーディング機能を迅速に実行できる手段を提供している。
利用者は、生成したコードをブックマークしたり同僚と共有したりするための便利な「保存」機能を使うことができる。研究者たちはすぐにこの点にセキュリティ上の問題があることに気づいた。共有可能なURLにアクセスまたは盗むことができる者がいれば、元データとその機密内容にたどり着けてしまうのだ。
- Active Directory認証情報
- コードリポジトリの認証キー
- データベース認証情報
- LDAP設定情報
- クラウド環境キー
- FTP認証情報
- CI/CDパイプライン認証情報
- 完全かつ機密性の高いAPIリクエストとレスポンス
- 秘密鍵
- カード決済ゲートウェイ認証情報
- RTSP認証情報
- 管理用JWTトークン
- ヘルプデスクAPIキー
- 会議室APIキー
- SSHセッション記録
- 幅広い個人を特定できる情報(PII)
明らかに、これらのプラットフォームを利用した開発者は、自分たちが入力したデータがサイトの安全でない設計によって保持・露出されるとは認識していなかった。
弱い対応
研究者たちは、政府、重要な国家インフラ、医療、銀行、さらには著名なサイバーセキュリティ企業など、多くの大規模組織のデータがURLで露出していることを特定した。
興味深い発見の一つは、MSSPによって投稿されたデータだった。それは同社のクライアントである米国の大手銀行のActive Directory(AD)ユーザー名およびメール認証情報だった。データが有効なJSONではなかったことから、研究者は投稿者が単に認証情報を共有するためのURL生成目的でサービスを利用したのだろうと推測している。
研究者が漏洩したデータについて影響を受けた企業に警告しようとしたところ、多くは無視された。「連絡を試みた影響組織のうち、迅速に対応してくれたのはほんの一部(ありがとう)でした。大多数は、複数のチャネルで連絡を取ろうとしたにもかかわらず、対応しませんでした」とwatchTowr主任研究員のJake Knott氏はブログで述べている。
「私たちに必要なのは、AI駆動のエージェントプラットフォームの増加ではなく、重要な組織が認証情報を無作為なウェブサイトに貼り付けることを減らすことです」と彼は語った。
この露出が他者にも気づかれているかどうかを確認するため、watchTowrは自らテスト用の認証情報を生成し、サイトからスクレイピングされるように仕掛け、誰かがそれらを利用しようとするかどうかをハニーポットで観察した。
「そして、大きな『驚き』が…最初のアクセスがあり、誰かがこれらのデータセットを探っていることが示されました。私たちだけではありません。すでに他の誰かがこれらのソースから認証情報をスクレイピングし、積極的にテストしています」とKnott氏は述べた。
CSO OnlineはwatchTowrの調査に対する回答を得るため両サイトに連絡したが、記事掲載時点では返答はなかった。しかし、両サイトの「保存」機能は現在、以下のメッセージとともに無効化されている:
「保存機能は一時的に無効化されています:NSFWコンテンツを防止し、より良くするために保存機能を停止しています。ご不便をおかけしますが、すべてのユーザーにとって安全かつ適切なプラットフォームを維持するため、積極的な対策を講じています。」
ただし、「最近のリンク」機能は、2つのうちCode Beautifyでは依然として利用可能だった。
watchTowrの研究者は、異常な露出を見つけることに長けている。今月初め、同社はFortinetが、FortiWeb WAFプラットフォームのゼロデイ脆弱性を顧客に公表する2週間前に密かに修正していたことを明らかにした。
