機密性の高い分野の組織に影響を与える数千件の認証情報、認証キー、構成データが、コードを整形・構造化するオンラインツール JSONFormatter と CodeBeautify に投稿された、一般公開状態の JSON スニペット内に放置されていることが判明しました。
研究者らは、両サービスが提供する「Recent Links(最近のリンク)」と呼ばれる機能を通じて、5GB を超える合計 80,000 件以上のユーザーペーストが誰でも自由にアクセスできる状態で露出していることを発見しました。
このような形で機密データが漏えいしていた企業や組織の中には、政府、重要インフラ、銀行、保険、航空宇宙、医療、教育、サイバーセキュリティ、通信といった高リスク分野の組織も含まれています。
オンラインに保存される秘密情報
外部攻撃サーフェス管理企業である WatchTowr の研究者は、JSONFormatter と CodeBeautify のオンラインプラットフォームを調査し、両サービスの Recent Links 機能が、ユーザーが一時的な共有目的でサービスのサーバーに保存した JSON スニペットへのアクセスを提供していることを突き止めました。
「保存」ボタンをクリックすると、プラットフォームはそのページを指す一意の URL を生成し、それをユーザーの Recent Links ページに追加しますが、このページには保護レイヤーが存在しないため、コンテンツは誰からでもアクセス可能な状態になります。
Recent Links ページは構造化された予測可能な URL 形式に従っているため、単純なクローラーで容易に URL を取得できます。
出典: watchTowr
露出の規模
これらの公開された「Recent Links」ページをスクレイピングし、プラットフォームの getDataFromID API エンドポイントを使って生データを取得することで、watchTowr は 80,000 件以上のユーザーペーストを収集しました。これは JSONFormatter の 5 年分のデータと CodeBeautify の 1 年分のデータに相当し、以下のような機微な情報が含まれていました。
- Active Directory の認証情報
- データベースおよびクラウドの認証情報
- 秘密鍵
- コードリポジトリのトークン
- CI/CD のシークレット
- 決済ゲートウェイのキー
- API トークン
- SSH セッションの記録
- 顧客確認(KYC)データを含む、大量の個人を特定できる情報(PII)
- 国際的な証券取引所の Splunk SOAR システムで使用されていた AWS 認証情報セット
- MSSP のオンボーディングメールによって露出した銀行の認証情報
あるケースでは、研究者は容易に特定可能なサイバーセキュリティ企業からの「本質的に機密性の高い情報」を発見しました。内容には、「非常に機密性の高い構成ファイル」の暗号化された認証情報、SSL 証明書の秘密鍵パスワード、外部および内部のホスト名と IP アドレス、鍵・証明書・構成ファイルへのパスなどが含まれていました。
出典: watchTowr
ある政府機関からのペーストには、新しいホストを構成するためにインストーラーを取得し、「レジストリキーの構成、設定のハードニング、最終的な Web アプリのデプロイ」を行う 1,000 行の PowerShell コードが含まれていました。
スクリプト自体に機密データが含まれていなかったとしても、watchTowr は、内部エンドポイントの詳細、IIS の構成値とプロパティ、対応するレジストリキーを伴うハードニング設定など、攻撃者が利用可能な有用情報が含まれていたと指摘しています。
Data Lake-as-a-Service(DLaaS)製品を提供するあるテクノロジー企業は、クラウドインフラ用の構成ファイルを露出しており、その中にはドメイン名、メールアドレス、ホスト名、Docker Hub、Grafana、JFrog、RDS データベースの認証情報が含まれていました。
研究者らはまた、「主要な金融取引所」からの Splunk SOAR オートメーションに関連する有効な本番環境の AWS 認証情報も発見しました。
あるマネージドセキュリティサービスプロバイダ(MSSP)は、自身の環境の Active Directory 認証情報に加え、米国の銀行向けのメールおよび ID ベースの認証情報を漏えいしており、watchTowr はこれを「MSSP にとって最大で最も積極的に宣伝されている顧客」と表現しています。
脅威アクターは常に、アクセスしやすいシステム上の機密情報をスキャンしているため、watchTowr は既に攻撃者が公開 JSON をスキャンしているかどうかを確認したいと考えました。
そのために彼らは、Canarytokens サービスを使用して、偽だが本物らしく見える AWS アクセスキーを生成し、24 時間で期限切れとなるリンク経由でアクセスできる JSON 内に、それらを JSONFormatter と CodeBeautify のプラットフォーム上に仕込みました。
しかし、研究者らのハニーポットシステムは、初回アップロードと保存から 48 時間後に、偽のキーを用いたアクセス試行を記録しました。
「さらに興味深いことに、これらは最初のアップロードと保存から 48 時間後(数学が苦手な人のために言うと、これはリンクが期限切れとなり『保存された』コンテンツが削除されてから 24 時間後)にテストされました」と、watchTowr はレポートで述べています。
watchTowr は影響を受けた多くの組織にメールを送りましたが、問題を修正したところもある一方で、多くは返答しませんでした。
現在も、2 つのコード整形プラットフォーム上の Recent Links は自由にアクセス可能な状態であり、脅威アクターが機密データを求めてこれらのリソースをスクレイピングできる状況が続いています。
