Slack の GitHub コード・リポジトリで侵害が発生:従業員トークンの窃取が原因

Slack’s private GitHub code repositories stolen over holidays

2023/01/05 BleepingComputer — 年末年始の休暇中に、Slack の GitHub プライベート・コード・リポジトリの一部に影響を与える、セキュリティ・インシデントが発生した。Salesforce が所有する IM アプリである Slack は、世界中の職場やデジタル・コミュニティで、推定 1800万人のユーザーに利用され、絶大な人気を誇っている。BleepingComputer は、2022年12月31日に Slack が発行したセキュリティ・インシデント通知を目にした。このインシデントでは、脅威アクターが限られた数の Slack 従業員トークンを盗み、Slack の外部でホストされている GitHub リポジトリにアクセスしたという。


顧客データには影響なし

Slack のプライベート・コード・リポジトリの一部が侵害されたが、Slack の主要コードベースと顧客データは、影響を受けていないとのことだ。

大晦日に公開された通知 [12] の文面は以下の通りである。

「2022年12月29日に、当社の GitHub アカウントで不審な動きがあったとの通知を受けた。調査の結果、限られた数の Slack 従業員トークンが盗まれ、当社の外部でホストされている GitHub リポジトリへのアクセスで悪用されたことが判明した。また、調査の結果、脅威者は 12月27日にプライベート・コード・リポジトリをダウンロードしたことが判明した。ダウンロードされたリポジトリには、顧客データ/顧客データへのアクセス手段/Slack の主要なコードベースは含まれていない」— Slack

その後に Slack は、盗まれたトークンを無効化し、顧客への潜在的な影響を調査している最中だと述べている。現時点において、プロダクション環境を含む Slack の機密領域に、アクセスされた形跡はないとのことだ。しかし、警戒のため、同社は関連する機密をローテーションしている。Slack のセキュリティ・チームは、「現時点で入手可能な情報によると、今回の不正アクセスは、Slack に内在する脆弱性に起因するものではない。今後も調査を続け、さらなる暴露がないかを監視していく」と述べている。

検索エンジンから探せないセキュリティ・アップデート

Slack は、あなたのセキュリティ/プライバシー/透明性を非常に重視していると語っているが、皮肉なことに、このセキュリティ・アップデートは、いくつかの注意事項がある。まず、第一に、このニュースは、本稿の執筆時点において、同社のグローバル・ニュース・ブログのように参照できない。

さらに、以前の Slack ブログ記事とは異なり、英国などからアクセスすると、このアップデートには “noindex” が付けられ、対象となる Web ページが検索エンジンの結果から除外されたことが示唆される。

Slack security update marked with noindex SEO tag
Slack security update slapped with a ‘noindex’ SEO tag (BleepingComputer)

BleepingComputer の確認によると、”noindex” 属性を含む “meta” タグ自体が、そのページの HTML コード内の一番下に、画面からはみ出る行として表示されていた。

つまり、私たちのようにソースコードを閲覧している者は、積極的にソースコードを検索 (Ctrl+F) しない限り、埋もれたタグを容易に確認することができないようになっている。HTML の head タグや meta タグは、ページの一番上に配置されるのが通例である。

Line containing the noindex tag
Elongated line 149 containing the ‘noindex’ tag doesn’t wrap (BleepingComputer)

しかし Google は、このタグを使わずに公開された米国の勧告を、すでにインデックスしていることに気づいた。

このように、企業側がニュースの可視性を制限しようとする際の手法には、geo-fencing の使用や、robots.txt ファイルの調整などもある。一般的に、重要な通知などに noindex の使用など手法は嫌われる。ただし、canonical リンクの生成が目的である場合に、誤って noindex 属性が適用される場合もある。

昨年に、情報科学誌の記者兼編集者である Zack Whittaker は、2022年に発生した LastPass のセキュリティ侵害に関する情報開示で、LastPass と GoTo が同様の戦術を採用していることを指摘した。

2022年8月に Slack は、誤ってパスワードのハッシュを公開するというインシデントを起こした後に、一部のユーザーのパスワードをリセットしている。当然のことながら、特定のユーザーに送られた通知にも noindex が付けられていた。さらに、2019年にも Slack は、2015年に発生したデータ侵害から影響を受け、一定の条件に当てはまる約 1% のユーザーの、パスワードをリセットしたと発表している。

しかし、幸いなことに、今回のセキュリティ・アップデートに関しては、顧客側で対応すべきことが無いということだろう。

Slack 従業員の GitHub アクセス・トークンが盗まれ、それにより、Slack のプライベート・リポジトリに不正アクセスが生じたという話です。Slack の主要コードベースと顧客データは、影響を受けていないとのことなので、良かったです。昨年の GitHub プライベート・リポジトリに関するインシデントですが、以下のようなものがあります。よろしければ、ご参照ください。

2022/04: GitHub でプライベート・リポジトリ侵害:盗まれた OAuth Token が原因
2022/10:Toyota からの警告:T-Connect のソースが GitHub 上で誤って公開
2022/11:Dropbox の開発者を狙うフィッシング:GitHub リポジトリ侵害
2022/12:Okta の GitHub リポジトリで侵害が発生:Lapsus$ との関連性は不明

それと、本文の最後にある、アドバイザリを検索し難くするという方針には、不快感を覚えてしまいます。

%d bloggers like this: