GitHub のシークレット・スキャンが拡張:AWS/Microsoft/Google/Slack などをカバー

GitHub’s Secret Scanning Feature Now Covers AWS, Microsoft, Google, and Slack

2023/10/06 TheHackerNews — GitHub が発表した、そのシークレット・スキャン機能の改良/拡張により、一般的な Amazon Web Services (AWS)/Microsoft/Google/Slack などのサービスでの有効性チェックも、カバーされるようになるという。今年のはじめに GitHub が導入した有効性チェックは、シークレット・スキャンにより発見されたトークンの有効性についてユーザーに警告し、効果的な修復措置を可能にするものだ。この有効性チェックは、まず GitHub トークンで有効化された。クラウドベースのコード・ホスティングとバージョン管理サービスを提供する GitHub は、より多くのトークンを、将来的にサポートするつもりだと述べている。


そのために、設定を切り替えるとき、企業や組織のオーナーやリポジトリ管理者は、Settings > Code security and analysis > Secret scanning へと進み、以下のオプションにチェックを入れる。

  • Automatically verify if a secret is valid by sending it to the relevant partner
  • シークレットの有効性について、関連するパートナーに送信することで、自動的に検証する

今年の初めに GitHub 、はすべてのパブリック・リポジトリに対してシークレット・スキャンのアラートを拡張した。また、コードがプッシュされる前に、高度に識別可能なシークレット・スキャンを実施することで、開発者とメンテナがプロアクティブにコードを保護する、プッシュ・プロテクション機能も発表した。

なお、先日には Amazon が、2024年半ばから AWS 組織アカウントの特権ユーザー (別名ルート・ユーザー) に対して、多要素認証 (MFA) の切り換えを強制する、アカウント保護要件の強化を発表している。

Amazon の最高セキュリティ責任者である Steve Schmidt は「MFA は、アカウントのセキュリティを強化するための、最もシンプルで効果的な方法の1つであり、権限のない個人によるシステムやデータへのアクセスを防ぐための、追加的な保護レイヤーを提供する」と述べている。

ただし、米国 の NSA と CISA が発表した新しい共同勧告によると、MFA の脆弱性や設定ミスは、最も一般的なネットワーク・ミスコンフィグレーションの Top-10 にもランクインしているという。

GitHub

NSA と CISA は、「一部の形式の MFA は、フィッシング/プッシュ爆撃/シグナリング システム 7 (SS7) プロトコルの脆弱性の悪用や、SIM スワップ技術に対して脆弱である。これらの試みに成功した脅威アクターは、MFA 認証情報へのアクセスや、MFA バイパスにより、MFA で保護されたシステムにアクセスができる」と述べている。

その他のサイバー・セキュリティに関する誤設定は以下の通りである。

  1. ソフトウェアとアプリケーションのデフォルト設定
  2. ユーザー/アドミン権限の不適切な分離
  3. 不十分な内部ネットワーク監視
  4. ネットワーク・セグメンテーションの欠如
  5. パッチ管理の不備
  6. システム・アクセス制御のバイパス
  7. 多要素認証 (MFA) の脆弱性やミスコンフィグレーション
  8. ネットワーク共有やサービスにおける ACL (Access Control List) の不備
  9. クレデンシャルに関する不十分な衛生管理
  10. 無制限のコード実行

そのための緩和策として挙げられるのは、デフォルト・クレデンシャルの削除/コンフィグレーションの強化/不使用サービスの無効化/アクセス制御の導入/パッチの優先的な適用/管理者のアカウントと権限に対する監査と監視などである。

また、ソフトウェア・ベンダーに対して求められるのは、Secure-by-Design 原則の導入/メモリ・セーフのプログラミング言語の使用/デフォルト・パスワードのハードコード回避/高品質監査ログの提供/MFA 方式を義務化などである

Amazon は「これらのミスコンフィグレーションが示すのは、成熟したサイバー態勢を持つ組織を含む多くの大組織においても、体系的な弱点が存在するという傾向である。 ネットワーク防御者の負担を軽減するために、ソフトウェア・メーカーによる Secure-by-Design 原則の採用が重要である」と述べている。

GitHub のシークレット・スキャンについては、2023/03/01 の「GitHub のシークレット・スキャン・アラートが正式運用:誰もが犯す間違いを自動的にチェック」で、その詳細が説明されています。また、2023/03/10 には、「GitHub のシークレット調査:2022年には 1000万件の機密情報が新たに漏洩していた」という記事もポストされていました。なんらかのツールがないと、人手で対応できるものではありません。GitHub のカバー範囲が広がるのは、素晴らしいことです。