Samsung から流出したソースコード:数 1000 の機密情報が含まれている

Thousands of Secret Keys Found in Leaked Samsung Source Code

2022/03/15 SecurityWeek — 先日に流出した Samsung のソースコードを分析した結果、数千の秘密鍵が公開されており、悪意の行為者にとって非常に有用な鍵も、その中には多数含まれていることが明らかになった。この分析は、Git のセキュリティ・スキャンと秘密検出を専門とする、GitGuardian により行われた。同社の研究者たちは、Lapsus$ と名乗るサイバー犯罪グループが、先日に流出させたソースコードに注目した。

このハッカーは、この数週間に NVIDIA/Samsung/Ubisoft/Vodafone などの、複数の大手企業に侵入したと主張している。多くの場合において、被害者が所有するソースコードを、彼らは入手したようであり、その一部は公開されている。Samsung の場合、Lapsus$ は 190Gb のデータを盗んだと主張しており、漏洩した情報の中には Galaxy デバイスに関するソースコードが含まれていることを、同社は認めている。

流出した Samsungのソースコードを GitGuardian が分析したところ、秘密鍵/ユーザー名/パスワード/AWS 鍵/Google 鍵/GitHub 鍵などの、6,600以上の秘密鍵が発見された。

GitGuardian の研究者は、公開された鍵の中に、どれだけの有効な鍵が存在するのかという点について、現時点では判断していない。しかし、彼らの分析によると、90% は内部システムに関連する可能性が高く、攻撃者による使用は困難である可能性が高いとしている。その一方で、残りの鍵 (約600個) は、様々なシステムやサービスへの、攻撃者によるアクセスを可能にするものとされる。

GitGuardian の Developer Advocate である Mackenzie Jackson は、「Samsung のソースコードから見つかった 6,600以上のキーのうち、およそ 90% はSamsung 内部のサービスやインフラ用のものである。ただし、残りの 10% は致命的なものであり、AWS/GitHub/artifactory/Google などの、Samsung の外部サービスやツールにアクセスできる可能性がある」と説明している。

コード・セキュリティ企業である BluBracket の Head of Product and Developer Relations である Casey Bisson は、特定のキーが公開されることで、Samsung デバイスの TrustZone 環境が侵害される可能性があると警告している。

生体認証や一部のパスワードなどの機密データを保存し、Android マルウェア攻撃に対するセキュリティ防御壁となる TrustZone を、暴露されたキーが侵害するかどうかは判断できていない。

Casey Bisson は、「流出したデータにより、マルウェアが TrustZone 環境にアクセスできるようになった場合、そこに保存されている全てのデータが脆弱になる可能性がある。Samsung が署名キーの管理を失った場合、TrustZone 環境への攻撃を防ぐための安全にアップデートが、不可能になる可能性がある。デバイスの数/消費者との接続/モバイル・デバイスが保持している機密データの量を考えると、Samsung における脆弱化されたキーは、Nvidia の場合よりも深刻な攻撃になるだろう」と述べている。

数ヶ月前に GitGuardian は、Amazon 傘下のライブストリーミング・サービス Twitch から流出したソースコードも分析しているが、この件では約6000の内部 Git リポジトリを、ハッカーが入手し公開している。

GitGuardian は Samsung のリポジトリ内で、AWS キー/Twilio キー/Google API キー/データベース接続文字列/GitHub OAuth キーなどの、約6,600の機密情報を発見している。

先日に GitGuardian が提供するレポート The State of Secrets Sprawl 2022 によると、2021年に公開された GitHub リポジトリでは、600万件以上の機密情報が公開されており、1000件のコミットのうち3件は、少なくとも1件の機密情報を公開しているという。

この件に関しては、3月7日の「Samsung が認めたデータ侵害の内容:Galaxy のソースコードも流出か?」に続く、2本目の記事となります。その時点で、Lapsus$ は、Samsung から盗んだとするデータを、内容の説明とともに公開したとされていました。また、Samsung サイドも、「我々の最初の分析によると、今回の侵害には Galaxy デバイスの操作に関連するソースコードが含まれるが、当社の消費者や従業員の個人情報は含まれていない」と述べていました。よろしければ、Lapsus$ で検索も、ご利用ください。

%d bloggers like this: