CircleCI/LastPass/Okta/Slack が狙われる:サプライチェーン攻防の要は ID 管理と開発環境だ

CircleCI, LastPass, Okta, and Slack: Cyberattackers Pivot to Target Core Enterprise Tools

2023/01/14 DarkReading — 開発パイプライン・サービスを提供する CircleCI が、1月上旬にセキュリティ侵害について警告し、同社のプラットフォーム上に保存/管理されている、パスワードや SSH キーなどの機密情報などを、直ちに変更するようユーザー企業に呼びかけている。CircleCI は、DevOps サービスへの攻撃から生じる、侵害範囲の特定/ソフトウェア改ざんの抑制/開発機密の侵害の特定などに躍起になっていた。具体的に言うと、認証トークンのローテーション/コンフィグレーションの変更/他のプロバイダーとの連携によるキーの失効/インシデント調査などを、同社は進めてきた。


同社は先週のアドバイザリで、「現時点において、当社のシステムで活動している脅威アクターは存在しない。しかし慎重を期して、すべての顧客に対して、データ保護のための一定の予防措置を取るよう要請している」と述べている。

CircleCI に対する侵害は、企業の基本的なサービスを攻撃しようという、関心の高まりを裏付ける最新の事例である。昨年には、Okta/LastPass などの ID サービスがシステム侵害を公表し、また、Slack/GitHub などの開発者向けサービスもソースコード/インフラへの攻撃対する早急な対応を余儀なくされた。

クラウド・セキュリティ企業である F5 の、著名なエンジニア/エバンジェリストである Lori MacVittie は、「企業のコア・ツールに対する攻撃の多さにより、この種のプロバイダーが定期的に標的になることを、企業は予測すべきという未来が浮き彫りにされる」と述べている。

サイバー攻撃を受ける ID管理/開発者向けサービス

最近の攻撃者は、ID/アクセス管理システムと、デベロッパー/アプリケーションのインフラという、企業インフラの中核を支える2種類のサービスに着目している。

ディテクション/レスポンス企業 NetWitness の Field CTO である Ben Smith は、「ID は、組織内のあらゆる部分をつなぐ接着剤であると同時に、組織とパートナー/顧客をつなぐものでもある。使用している製品/プラットフォームの種類には関係なく、認証を専門とする企業よりも優れた存在として、他の顧客の認証を専門とする企業があることを、攻撃者は認識している」と述べている。

その一方で、企業の開発者向けのサービス/ツールも、攻撃が多発するサービスの1つとなっている。たとえば 2022年9月には、脅威アクターが Rockstar Games の開発者向け Slack チャンネルにアクセスし、発売予定のゲーム Grand Theft Auto 6 のビデオ/スクリーンショット/コードをなどを、ダウンロードするというインシデントが発生した。そして 2023年1月9日に Slack は、「少数の Slack 従業員トークンが盗まれ、外部でホストされている GitHub リポジトリへのアクセスのための悪用が発見された」と発表している。

NetWitness の Smith は、「ID サービス/開発者サービスは、アプリケーション・サービス/運用/ソースコードなどの、様々な企業資産にアクセスできることが多いため、これらのサービスを侵害することは、企業の他の部分へのスケルトン・キーになり得る。これらは非常に魅力的なターゲットであり、手の届くところに成っている果実のようなものだ。これらは古典的なサプライチェーン攻撃である。つまり配管への攻撃であり、配管は目に見えるものではない」と述べている。

サイバー防衛のために、機密情報を賢く管理し、プレイブックを確立する

Bishop Fox の Managing Senior Consultant である Ben Lincoln は、「組織は最悪の事態に備え、このような広範囲に被害を与える攻撃に対して、影響から逃れるための簡単な方法が無いことを、認識する必要がある。このような攻撃から身を守る方法はあっても、それなりのオーバーヘッドを伴う。したがって、必要性が明確になるまで、その導入に対して、開発者が消極的になるのは目に見えている」と述べている。

Lincoln は、「防御策として、機密情報の包括的な管理を推奨する。企業は、必要なパスワード/キー/機密設定ファイルなどを、ボタンを押すだけでローテーションできるようにする必要がある。露出を制限する必要があるが、万が一、侵入された場合には、ボタンを押すだけで、すべての認証情報を直ちに交換できる状況が望ましい。企業は事前に綿密な計画を立て、最悪の事態が発生した場合に備えて、プロセスを準備しておく必要がある」と述べている。

ユーザー企業が、攻撃者に対してトラップを仕掛けることも可能だ。ハニーポットのような多様な戦略を用いることで、攻撃者がネットワーク/サービスに侵入している可能性を、セキュリティチームは高確率で検知できる。また、Credential Canarie と呼ばれる、偽のアカウント/クレデンシャルを作成することで、脅威者による機密資産へのアクセスを検知できる。

MacVittie は、「その他の点では、企業はゼロトラストの原則を適用して、マシン/ソフトウェア/サービスだけではなく、業務に対する攻撃対象領域を減らす必要がある。従来からの運用では、企業内の大きな堀に隠れることで安全が保証されたので、新たな攻撃ベクターに対して、あまり注意が払われてこなかった。しかし、現在のアプリケーション/デジタル・サービスの構築方法では、運用において多数の ID が関与しており、それらの ID が高価値であることに、攻撃者たちは気付き始めている」と述べている。

たしかに、ID とアクセスを管理するシステムと、デベロッパーとアプリケーションのインフラを狙う攻撃が、このところのトレンドのようです。脆弱性の管理が重要なことはモチロンですが、こうした、常に変化している攻撃ベクターに対しても、関心を保つ必要があるのだと思います。また、2022/11/30 の CISA Strategic Plan 2023-25:防御から回復力へと大きく舵を切る米連邦政府にもあるように、回復力の向上も、今年のトレンドになりそうです。文中の「万が一、侵入された場合には、ボタンを押すだけで、すべての認証情報を直ちに交換できる状況が望ましい」という考え方は、とても有効だと思います。

%d bloggers like this: