GitHub でプライベート・リポジトリ侵害:盗み出された OAuth Access Token が原因

GitHub Says Hackers Breached Dozens of Organizations Using Stolen OAuth Access Tokens

2022/04/15 TheHackerNews — 金曜日に GitHub は、未知の敵対者が盗み出した OAuth ユーザー・トークンの悪用により、複数の組織から個人データが不正にダウンロードされた証拠を発見したと表明した。GitHub の Mike Hanley は、「この攻撃者は、Heroku と Travis-CI という2つのサードパーティ OAuth インテグレータから発行された、OAuth ユーザー・トークンを悪用し、NPM を含む数十の組織からデータをダウンロードした」とレポートで明らかにしている

OAuth アクセス・トークンとは、ユーザー・データの特定の部分へのアクセスを承認し、実際の資格情報を共有することなく、相互に通信するために、アプリやサービスでよく使用されるものである。それは、シングル・サインオン (SSO) サービスから、別のアプリケーションに承認を受け渡すために使用される、最も一般的な方法の1つでもある。

2022年4月15日の時点において、影響を受ける OAuth アプリケーションの一覧は以下の通りとなる。

  • Heroku Dashboard (ID: 145909)
  • Heroku Dashboard (ID: 628778)
  • Heroku Dashboard – Preview (ID: 313468)
  • Heroku Dashboard – Classic (ID: 363831), and
  • Travis CI (ID: 9216)

この OAuth トークンは、GitHub へのシステム侵害により取得されたとはされていない。なぜなら、オリジナルの使用可能な形式で、それらのトークンは保存されていないからである。

さらに GitHub は、それらのサードパーティ製 OAuth アプリを使用している被害者のエンティティから、脅威アクターがダウンロードしたプライベート・リポジトリのコンテンツを分析している。その結果として、インフラの他の部分にピボットするために活用できる、追加のシークレットを取り出している可能性があると警告している。

この、Microsoft が所有するプラットフォームは、侵害された AWS API キーを悪用した、NPM プロダクション環境への不正アクセスに遭遇した 4月12日に、この攻撃キャンペーンの初期の証拠を発見したことを指摘している。

この AWS API キーの取得は、被害を受けた2つの OAuth アプリケーションのうちの1つから盗まれた OAuth トークンを使って、不特定のプライベート NPM リポジトリ・セットをダウンロードすることで達成されたとみられている。その後に、GitHub は、影響を受けたアプリケーションに関連するアクセス・トークンを失効させたと述べている。

GitHub は、「現時点では、攻撃者によるパッケージの変更や、ユーザー・アカウントのデータや認証情報への不正アクセスは行われていないと評価している」と述べ、攻撃者によるプライベート・パッケージの閲覧/ダウンロードの有無を確認するために、調査を続けていると明らかにした。

また、GitHub は、このインシデントの結果として、影響を受ける可能性のある既知の被害者ユーザーと組織を特定し、今後 72 時間以内に通知するよう取り組んでいるところだと述べている。

最近の GitHub に関しては、2022年3月3日の「GitHub 調査:不適切なソースコード管理によりパスワードなどの機密情報が漏洩」や、4月1日の「GitLab に深刻なアカウント乗っ取りの脆弱性:管理者に推奨される対策とは?」といった問題を指摘する記事がありました。その一方で、4月4日の「GitHub にトークン保護機能が追加:リポジトリ・プッシュの前に自動判定」や、4月7日の「Google と GitHub が協力:ソフトウェアの真正性確保によりサプライチェーン攻撃に対抗」といった、とてもポジティブな記事もあります。

%d bloggers like this: