出典: alon harel via Alamy Stock Photo
意図しない結果の連鎖の典型的な例として、脅威アクターはAIツール企業に侵入し、先週末にそのアクセスを利用してソフトウェアセキュリティ企業Vercelに侵入し、その他の関連組織にも侵入した可能性がある。
Vercelは昨日、サードパーティのAIツール企業Context.aiを経由して侵害されたことを発表した。VercelはContextの顧客ではないが、攻撃者はVercelの従業員が所有する侵害されたOAuthトークンを使用したと考えられている。この従業員はVercelのGoogle Workspaceアカウントを使用してContextのAI Office Suiteに登録し、その過程で「すべてを許可」の権限を付与した。
Vercelはそのウェブサイト上のセキュリティ速報で、これが「[攻撃者が]一部のVercel環境および『sensitive』としてマークされていない環境変数へのアクセスを獲得することを可能にした」と述べた。
Hudson Rockがブログ記事で指摘したように、Context攻撃は従業員が人気のオンラインゲーム「Roblox」のチートスクリプトをダウンロードしたことが原因と見られており、これらのスクリプトの1つが情報窃盗ツールを含んでいた。
「エクスプロイトではない。ゼロデイでもない」とContrast Securityのチーフインフォメーションセキュリティオフィサー(CISO)のDavid Lindnerはダークリーディングに述べる。「認可されていないAIツール、過度な権限を持つOAuthグラント、そしてゲームのチートダウンロード。Vercelは現在、脅威アクター[疑わしくはShinyHunters]が200万ドルで販売している侵害についてManidantと協力しており、あなたの従業員は現在、彼らのマシンで同じことをしている可能性がある。問題は、あなたがそれについて知っているかどうかである。」
「運用速度、詳細な理解」
Vercelは「sensitive」としてマークされた変数は読み取られるのを防ぐ方法で保存されていることに注目し、そのような変数がアクセスされたという証拠がないと述べた。Vercelは他のセキュリティ企業、ピア、Context.ai自体、および法執行機関との協力を含めて、Manidantとともにインシデント対応に取り組んでいる。
「攻撃者の運用速度とVercelのシステムに対する詳細な理解に基づいて、攻撃者は高度に洗練されていると評価する」と会社は述べた。
Contextが秘密漏洩を認識すると、会社は影響を受けた顧客に次のステップについて通知すると述べた。「このインシデントを引き続き評価している間に、OAuthトークンの盗難はAWS環境が閉鎖される前に発生した」とContextの通知は読んだ。
下流への影響をさらに拡大して、Vercelはベルセル認証情報が侵害された限定的な顧客サブセットを特定した。会社は彼らに連絡し、認証情報の即座なローテーションを推奨した。この時点で、連絡を受けたのは侵害されたと考えられているのみである。
ダークリーディングはVercelに、「sensitive」としてマークされていない場合でも、アクセスされた変数が顧客が侵害されたことを考慮して機密データを含む可能性があるかどうかを尋ねた。会社は直接応答することを拒否したが、「侵害されるリスクがあると考える顧客に連絡した」ことを強調した。
「何とどのデータが流出したかについて引き続き調査しており、侵害の追加の証拠を発見した場合は顧客に連絡する」とスポークスパーソンは述べる。広範な保護対策と監視を展開しました。当社のサービスは運用中のままです。セキュリティ速報も引き続き更新します。」
一方、Contextは廃止された従来の消費者向け製品であるContext AI Office Suiteに対する攻撃に関する独自のセキュリティアドバイザリーを昨日共有した。Contextは先月、AWS環境への不正アクセスを伴う侵害を「特定および停止」したと述べた。
会社はCrowdStrikeに関与し、調査を実施し、AWS環境を閉鎖し、関連するOffice Suite製品を完全に廃止するための措置を講じたが、Contextはvercelの侵害を通じて、および追加の調査を通じて、特定されていない攻撃者が「また一部の消費者ユーザーのOAuthトークンを侵害した可能性がある」ことを学んだ。
Context Bedrockである会社の現在のプラットフォーム製品は影響を受けていない。
ダークリーディングはContextに追加情報を求めて連絡した。
攻撃はAIデータセキュリティの重要性を強調する
重要な詳細の一部は不明なままですが(両事件が調査中であるため)、サプライチェーンインシデントは、データセキュリティが適切にロックダウンされていない場合のAI製品がもたらすリスクに注意を喚起する。AIツールは機能するために広範な権限と特権を必要とする。つまり、セグメンテーション、ゼロトラスト、および最小特権の原則を優先することなく、組織は増加したリスクのままである。
VercelのContext AI Office Suiteインスタンスが認可されたか、従業員がITの監視なしにAIツールを使用する「シャドウAI」の例であるかは不明である。どちらにしても、それはAIガバナンスフレームワークを作成し、会社のリソースを使用してAIがどのように展開でき、展開できないかについての期待を強調することを思い出させる。
Vercelのブログには侵害の指標と推奨事項が含まれている。顧客はアクティビティログを確認し、環境変数を確認およびローテーションし、今後は機密環境変数を使用し、最近の展開を確認して予期しない疑わしい活動がないか確認し、「デプロイメント保護」が少なくとも標準に設定されていることを確認し、設定されている場合はデプロイメント保護トークンをローテーションする必要がある。
Nudge Securityのチーフテクノロジーオフィサー(CTO)のJaime Blascoはダークリーディングに、これが彼らに起こることを望まない組織はOAuth同意から始めるべきだと述べた。
「ほとんどのGoogle WorkspaceおよびMicrosoft 365環境は、まだ任意の従業員がサードパーティアプリケーションにエンタープライズアカウントへのアクセスを許可できるように設定されている。管理者が管理する同意に移行する。新しいアプリは企業データに接触する前にレビューされる。その1つの変更は、Vercelの従業員にContext.aiエンタープライズ全体のスコープを付与することをブロックしていたであろう」とBlascoは述べる。「とは言え、OAuthグラントを作成できるSaaS企業は数百あり、ほとんどはこれらのグラントをブロックするか、この機能をエンタープライズライセンスの背後にゲート化することができます。」
OAuth: 新しい攻撃面
Blascoはサイバー攻撃に関する以下のSalesloft Drift攻撃やGainsight攻撃などで展開されているように、OAuthトークンは「新しい攻撃面」であると述べている。攻撃者は小さなAIまたはSaaS企業に侵入し、顧客に代わって保有されているOAuthトークンを盗み、下流で追加の攻撃を実施する。
「これは新しいAI攻撃技術を必要としなかった」と彼は述べる。「Agentic AIはこれを悪化させる。これらのプラットフォームは広範なスコープを持つOAuthグラント内のハブの中心に座っており、通常はその背後に成熟したセキュリティプログラムのない若い企業である。OAuthは新しい横方向の動きである。業界がOAuthトークンを高価値認証情報として扱うまで、ベンダー名が入れ替わった同じ侵害の記事を読み続けるだろう。」
GitGuardianのサイバーセキュリティ研究者であるGuillaume Valadonは、これらの攻撃のメカニクスが「15年間書き続けてきた同じアイデンティティと認証情報の問題」を反映していると述べている。
「AIが本当に変えたことは信頼の分散である。チームはコアアイデンティティプロバイダーとコードホストに数十の新しいSaaS統合を配線し、ベンダーがハッキングされた瞬間に攻撃者が継承する事前認可パスの各1つになっている」とValadonは述べる。「API、トークン、およびOAuthスコープはまだスタックの最も柔らかい部分である—AIはその問題を作成しなかった。それはただ、それに依存する表面を大幅に拡大しただけだ。」
翻訳元: https://www.darkreading.com/application-security/vercel-employees-ai-tool-access-data-breach
