米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)が、皮肉にも自ら大規模な認証情報漏洩を起こしていたことが明らかになった。委託先担当者が個人用GitHubリポジトリ「Private-CISA」に、AWS GovCloud(政府専用クラウド)の管理者認証情報やKubernetesマニフェスト、Terraformコード、Entra IDのSAML証明書、さらには内部システムの平文パスワードまで、約6カ月間公開状態で放置していた。

通報から8時間、記者の口利きでようやく動いた #
省庁の正規通報ルートより、記者経由の方が速く機能したという皮肉な結果になった。CERT/CCの自動応答だけが返り、週末を挟んで対応が止まっている間、政府クラウドの管理者権限は公開されたままだった。インシデント対応の初動が「誰に連絡が届くか」で左右される脆さを露呈した格好だ。
露出は「認証情報」だけでは済まない #

研究者の検証では、露出した認証情報でGovCloud管理者アカウント3件に実際にログインでき、S3・EC2・Secrets Managerへのフルアクセスも確認された。さらに社内ビルド用リポジトリ「artifactory」への平文認証情報も含まれており、専門家は「攻撃者がソフトウェアパッケージにバックドアを仕込めば、ビルドのたびに配布されてしまう」とサプライチェーン汚染のリスクを指摘する。個人リポジトリという組織のセキュリティ監視が及びにくい"死角"に、本番環境の鍵一式が転がっていた格好だ。セキュリティ機関自身が己の教科書どおりの失敗を犯した今回の事案は、シークレットスキャンとCI/CD権限の最小化がどの組織にも他人事ではないことを改めて示している。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。