Dropbox の開発者を狙うフィッシング：GitHub リポジトリ侵害と 130 件のコード流出

130 Dropbox code repos plundered after successful phishing attack

2022/11/02 HelpNetSecurity — Dropbox はデータ侵害に遭ったが、攻撃者による Dropbox のアカウント／パスワード／支払い情報などへのアクセスはなかったので、ユーザーは心配する必要ない。その代わりに、同社が GitHub にホストしている 130件のプライベート・リポジトリーからコードが取得されてしまった。

何が漏えいしたのか？

漏洩したリポジトリに含まれていたのは、Dropbox で使用するために変更されたサードパーティ・ライブラリ・コピー／内部のプロトタイプ／セキュリティ・チームが使用するツールや設定ファイルなどであり、Dropbox のコア・アプリやインフラのコードは含まれていない。

また、攻撃者は次のようなものも発見している。

• Dropbox の開発者が使用する API キー
• Dropbox の従業員／顧客／セールスリード／ベンダーが所有する数千の名前と電子メール・アドレス

同社は、「当社のセキュリティ・チームは、公開されている開発者クレデンシャルのローテーションを調整し、不正にアクセスされた顧客データがある場合は、それを特定するために直ちに行動を起こした。また、ログを確認しているが、悪用された形跡はなかった。念のため、外部のフォレンジック専門家に調査結果を検証してもらい、適切な規制当局と法執行機関に対して、このインシデントを報告した」と述べている。

攻撃者によるアクセスの方法は？

攻撃者は、Dropbox の開発者が使用する CI/CD (Continuous Integration and Continuous Delivery) プラットフォームを開発する CircleCI になりすまし、不正に侵入した。Dropbox の開発者たちは、GitHub の認証情報を使ってCircleCI にログインしているため、その認証情報が漏洩していたことになる。

同社は、「当社のシステムは、これらのメールの一部を自動的に隔離したが、Dropboxer の受信トレイに着信しているメールもある。これらの正規に見えるメールは、従業員を偽の CircleCIロ グインページへと誘導し、GitHubのユーザー名とパスワードを入力させ、ハードウェア認証キー用いて、悪意のサイトにワンタイム・パスワード (OTP) を渡すよう指示するものだった」と述べている。

これらの試みが成功し、攻撃者は Dropbox の GitHub のプライベートコード・リポジトリにアクセスできるようになった。

このデータ侵害の後、Dropbox は何をするのだろうか？

10月13日に GitHub は、Dropbox の GitHub アカウント／リポジトリにおける不審な挙動に最初に気づき、その翌日に同社に通知した。

9月16日に GitHub が発見した、CircleCI ブランド・フィッシング・キャンペーンで漏洩した認証情報との関連性について、Dropbox のセキュリティ・チームは何も明言していない。

いずれにせよ、このインシデントにより Dropbox は、WebAuthn 採用を加速させるだろう。

同チームは、「どんなに疑い深く、警戒心の強いプロフェッショナルであっても、適切なタイミングと適切な方法で配信される、注意深く作られたメッセージに騙される可能性がある。それこそが、フィッシングが極めて効果的だとされる理由であり、また、この種の攻撃に対してテクノロジーが最善の防御策になり得ない理由でもある。今回のインシデントより以前に、すでにフィッシングに強い MFA の導入を進めていた。まもなく、私たちの環境全体が、ハードウェア・トークンや生体認証の要素を持つ、WebAuthn により保護されることになるだろう」と述べている。

今年に入ってから、Twilio や Cloudflare をはじめとする数多くの組織が、ID／アクセスを管理する Okta を装うフィッシング・メッセージの標的にされたが、Cloudflare は物理セキュリティ・キーを介した ２FA を運用しているため、無傷で切り抜けた。

CI/CD プラットフォームである CircleCI のなりすましが、このインシデントの原因とのことです。 9月22日の「CircleCI で進行するフィッシング：GitHub のアカウント認証情報と 2FA コードを盗み出す」という記事には、CircleCI になりすましたメールがユーザーを狙っていると記されていました。また、2月16日の「ポイズンド・パイプライン：CI/CD 環境における攻撃メソッドについて」という記事では、CI/CD パイプライン攻撃が詳細に解説されています。また、文中の WebAuthn に関しては、今日の「CISA の MFA ガイダンス：Number Matching の実装によりフィッシングに対抗」が参考になると思います。