Thousands of Publicly Exposed API Tokens Could Threaten Software Integrity
2022/10/21 InfoSecurity — 機密情報/データ/プライベート・ネットワークなどへのアクセスを脅威アクターに許し、ソフトウェアの完全性を脅かしてしまう数千のアクティブな API Token が、Web 上で公開されていることが発見された。この結果は、JFrog のセキュリティ研究者たちが、同社のセキュリティ・ソリューションの新機能をテストしている際に発見されたものだ。
過去においても同チームは、npm/PyPI/RubyGems/crates.io/DockerHub などの、最も一般的なオープンソース・ソフトウェアのレジストリにある 800 万以上の成果物をスキャンし、漏洩した API Token を発見/検証したと報じられている。
npm/PyPI パッケージの場合には、同一のパッケージの複数のバージョンをスキャンしたものもあり、また、一度利用できたが、その後に削除されたトークンの検出も試みたとされる。
スキャンの結果、最も多く流出したトークンは、Amazon Web Services (AWS)/Google Cloud Platform (GCP)/Telegram API などだったことが判明した。それと同時に、Amazon の開発者が無効化したトークンは全体の 53%であり、GCP は 27% に留まる結果も出ている。
JFrog は、Infosecurity と共有したレポートの中で、「研究の最初の目的は、誤検出の発見/修正だった。しかし、研究チームは予想以上に多くのアクティブな秘密を発見し、それが詳細な分析を促した。分析を完了するために、チームは漏えいした全ての機密情報を、それぞれのコード所有者 (特定できるもの) に非公開で開示し、必要に応じて情報の置き換え/取り消しを実行する機会を提供した」と記している。
さらに同社は、公開された機密情報に含まれているものは、平文の API キー/認証情報/期限切れの証明書/パスワードなどだと述べている。
JFrog が公開した API Token の詳細については、同社の Web サイトで確認できる。このレポートは、3200以上のモバイル・アプリが Twitter の API キーの漏洩していることを、CloudSEK が発見してから数ヶ月後に公開された。
API 攻撃からアプリケーションを保護する方法の詳細については、Lionfish Tech Advisors の Jonathan Care が、最近に行ったウェビナーを参照してほしい。
とても興味深い調査結果ですが、そこから何を読み取り、どのように考えるべきかは、これからの課題なのだと思います。JFog の Thousands of Publicly Exposed API Tokens には、DockerHub (files) 6.78M/npm 1.16M/DockerHub (Dockerfiles) 0.61M/PyPL 0.43M/RubyGems 0.18M/crates.io 0.11M というデータが示されています。また、AWS/GCP/Telegram における、アクティブ/非アクティブ API の件数もチャートで示されています。よろしければ、カテゴリ API も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.