- 研究者がGitLab Cloudリポジトリで17,000件の公開シークレットを発見
- 漏洩した認証情報は、乗っ取り、暗号通貨マイニング、さらなるインフラ侵害のリスクをもたらす
- Marshall氏は自動スキャンを実施し、9,000ドルの報奨金を獲得;一部プロジェクトは依然として公開状態
セキュリティ研究者が公開GitLab Cloudリポジトリで数千件のシークレットを発見し、ソフトウェア開発者が自らのプロジェクトをサイバー攻撃のリスクにさらしている実態を明らかにしました。
GitLab Cloudは、開発者がコードを保存し、課題を追跡し、CI/CDパイプラインを実行し、ソフトウェアプロジェクトで協力するために使用するプラットフォームのホスティング版です。
最近、セキュリティ研究者のLuke Marshall氏は、GitLab Cloud、Bitbucket、Common Crawlを対象にAPIキー、パスワード、トークンなどをスキャンし、多数のシークレットを発見しました。GitLab Cloudでは、2,800のユニークなドメインにまたがる公開リポジトリで17,000件のシークレットが見つかりました。Bitbucketでは260万のリポジトリから6,200件以上、Common Crawlでは12,000件の有効なシークレットが発見されました。
スキャンの自動化
これらの認証情報を発見したハッカーは、クラウドアカウントを乗っ取ったり、データを盗んだり、暗号通貨マイナーを展開したり、サービスになりすましたり、組織のインフラ内部へさらに侵入したりすることができます。たった1つのトークン漏洩でも、攻撃者に内部システムへの長期的なアクセスを与え、コードの改ざんやリソースの消費、さらなる攻撃の発動を気付かれずに行うことが可能となります。
ほとんどのシークレットは比較的新しいもの(2018年以降に生成)でしたが、数十年前のものも有効なまま残っており、悪意のある攻撃者によって発見され、攻撃に利用された可能性が高いです。シークレットの多くはGoogle Cloud Platform(GCP)やMongoDBの認証情報でした。他にも、Telegramボットのトークン、OpenAIキー、GitLabキーなどが挙げられます。
Marshall氏はそのプロセスのほとんどを自動化できたと説明しています。全体を終えるのに約24時間と800ドル弱を要しましたが、その努力は報われ、約9,000ドルの報奨金を得ることができたといいます。通知プロセスも自動化でき、多くの開発者が通知を受けてプロジェクトを保護しましたが、今もなお一部は公開状態のままだと述べています。
