The Rising Threat of Secrets Sprawl and the Need for Action
2023/05/23 TheHackerNews — 今日の情報化時代において、最も貴重な資産はカギでロックされたシークレットである。GitHub の公開アクティビティを分析した、最大規模の レポート 2023 State of Secrets Sprawl が示すように、さらにシークレットの維持が難しくなるという、残念な状況が浮き彫りになっている。このレポートでは、漏えいシークレット数が前年比で 67% 増加し、2022年だけで 1000万個のハードコードされたシークレットが検出された指摘されている。このシークレットの氾濫とも言うべき状況は、安全なソフトウェア開発と対策の必要性を強調するものとなっている。
シークレットの氾濫 (Secrets Sprawl) とは、ソースコード/ビルドスクリプト/コードとしてのインフラ/ログなどの、さまざまなソースにおいて、平文で現れる秘密のことを指す。API トークンや秘密鍵のようなシークレットは、現代のソフトウェア・サプライチェーンにおける構成要素を安全に接続する。その一方で、開発者/マシン/アプリケーション/インフラシステムの間に広く分布するため、漏洩の可能性が高くなる。
インシデントで示されたハードコード化されたシークレット危険性
Uber と Toyota で発生した、二件の深刻なサイバー・セキュリティ・インシデントは、シークレット拡散と、コード・セキュリティの優先化という、緊急に対処すべき問題を浮き彫りにした。この種の問題に対する認識が高まるにつれて、企業はシークレットの保護を優先し、潜在的な脅威を検出/修復する、革新的なソリューションに投資することが不可欠となっている。
Uber に仕掛けられた攻撃は、PowerShell スクリプトに含まれる、ハードコードされた管理者認証情報を悪用する攻撃者が、重要なシステムに不正にアクセスするというものだ。との一方で Toyota は、顧客データへのアクセスを許可する認証情報を、GitHub の公開リポジトリで5年間ほどにわたり、不注意で公開していたといものだ。この2つのインシデントにより、シークレットの乱立に伴うリスクを、目の当たりにすることになった。さらに、このレポートが指摘するように、ほとんどのセキュリティ・インシデントは、ある時点でシークレットに関係している。たとえば、攻撃者により悪用されるカギや、流出したソースコードからの暴露される情報である。
アプリケーション・セキュリティの大きな盲点
2022年においては、コード作成者の 10% が、シークレットの暴露に直面したと言われており、この問題が経験レベルを超えて、あらゆる開発者を苦しめていることが判明している。
著名なセキュリティ侵害が相次いだことから、ソフトウェア・サプライチェーン・プロセスを精査する企業が増え、また、シークレット管理が注目を集めている。これまでのサイバーセキュリティ・チームは、セキュリティが不十分な認証情報を発見することよりも、脆弱性を特定することに重点を置いてきた。その結果として、プロダクション環境で稼働している無数のアプリケーションにおいて、発見されていないシークレット管理の問題が浮上してきている。
完璧なシナリオであれば、DevSecOps のベストプラクティスを採用することで、この増大する問題に対処できるはずだ。しかし、コードリポジトリの絶え間ない拡張に伴い、より基本的なエラーが出現している。ソフトウェア・サプライチェーンの脆弱性を認識したサイバー犯罪者たちは、アプリケーション侵害の可能性うぃ持つシークレットを見つけるために、積極的にリポジトリをスキャンしている。
ソフトウェア・サプライチェーンへの攻撃は、これからも増加することが予想されるため、この問題は、いま以上に深刻化すると思われる。技術が進歩し、私たちの日常生活に、コードというもの密接に関わるようになると、シークレット拡散に関連するリスクがより切実になってくる。
バイデン政権の国家サイバーセキュリティ戦略を受けて、ソフトウェア・サプライチェーンの安全確保への注目が強まることで、ソフトウェア開発ライフサイクルの中で、End-to-End のセキュリティ対策を実施する、IT 組織が増えることが予想される。その結果として、DevOps チームが予測すべきことは、サイバーセキュリティ専門家によるシークレット管理への、注目度が高まりである。
シークレット・スプロールのリスクを軽減する対策の導入
この増大する脅威と戦うために、組織として投資すべき対象は、機密を優先的に保護するための、潜在的な脆弱性に対する検出/対処のソリューションである。
あらゆるものがコード化される世界において、デジタル・インフラ/サービスのコモディティ化は拡大し続け、日々の業務においてもソフトウェア/コード/シークレットの重要性が増している。
機密漏洩のリスクは、集中管理システムを使っても、完全には排除することは不可能だ。しかし、シークレットの衛生管理を強化し、修復のためのプレイブックを導入することで、リスクの軽減が可能になる。
シークレットの検出/修復プログラムが、組織にもたらす効果を測定するためには、何千ものハードコードされたシークレットで構成される、セキュリティの問題に対処しない場合の推定コストを、無料の Value Calculator で見積もることも可能だ。
この問題との付き合い方を学び、適切なツール/リソースを配置することで、漏洩したシークレットや、悪用されたシークレットに関連するリスクを、企業は大幅に削減できるようになる。
結論として、シークレットの氾濫 (Secrets Sprawl) は、組織における早急な対応を必要とする、脅威が拡大している状況を示すものである。そして、いまは、シークレット管理を優先し、革新的なソリューションに投資し、シークレットが安全かつ確実に保たれるようにしていく時である。情報がパワーとなる世界において、シークレットを安全に保つための、安全な鍵が必要とされている。
GitHub におけるシークレットの問題ですが、2023/03/10 には「GitHub のシークレット調査:2022年には 1000万件の機密情報が新たに漏洩していた」という記事もポストされています。この記事では、「機密情報の大部分と言える 56% を、一般的なパスワードが占める一方で、API キー/乱数生成などのが 38%を占めている」と記されていました。よろしければ、GitHub で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.