Security Experts Urge IT to Lock Down GitHub Services
2024/01/15 InfoSecurity — GitHub サービスを悪用して秘密裏にサイバー攻撃を仕掛けるケースが増えていると、脅威インテリジェンス企業である Recorded Future が警告している。同社は、企業の IT チームに対して、対策を講じるよう呼びかけている。Recorded Future の最新レポート “Flying Under the Radar: Abusing GitHub for Malicious Infrastructure” では、脅威アクターに最もよく悪用される GitHub サービスが列挙されている。
2023年3月〜11月の脅威インテリジェンス・サンプルの分析によると、最も頻繁に攻撃に悪用されていたのは、以下のサービスだという:
- GitHub Raw (40%)
- GitHub Objects (35%)
- GitHub Pages (14%)
GitHub は、約1億人の開発者に利用されているプラットフォームであるため、悪用が生じると大規模な脅威となる可能性がある。脅威アクターたちは GitHub を利用して、良性のネットワーク・トラフィックに悪意を紛れ込ませていると、Recorded Future は主張している。
GitHub サービスを悪用する利点の一例として、同社は以下を挙げている:
- 多くの組織において、GitHub ドメインがブロックされていない。
- 可用性が高くなるように設計されている。
- 新規アカウントを登録する際の審査が最小限である。
- サービス・プロバイダーに検出される可能性が低い。
上記のような利点から、GitHub は低コストかつ効果的なプラットフォームとして認識され、C2 (command-and-control) インフラ/マルウェアのペイロードのサイレント配信/データの流出などで悪用されると、Recorded Future のレポートは主張している。同社が警告するのは、組織は脅威の予測において、GitHub を考慮する必要があるというものだ。
このレポートには、「短期的に見て、防御側が取るべき対策は、自分の環境で使用されていない GitHub サービスや、悪用が判明している特定の GitHub サービスに対して、フラグを立てブロックするという、サービス・ベースの戦略である。ただし、この対策は、企業環境における特定の部門のみが、GitHub サービスとのインタラクションを必要とするという原則に基づく、コンテキスト・ベースの戦略と組み合わされるべきである。長期的に見ると、GitHub などのコード・リポジトリが悪用される方法について、リソースを割いて理解を深めるべきだ」と記されている。
Recorded Future のレポートは、8つの提言で締め括られている:
- 全ての Web/クラウドのトラフィックを仔細に監視し、インスタンス・レベルでコンテキストを考慮したポリシーを適用することで、GitHub の可視性を高める。
- GitHub へのアクセス権を持つ全てのユーザーをリストアップし、資産リストを最新の状態に維持する。
- 組織の特殊な環境に合わせて、検知の対策を適応させる。
- アプリケーションの許可リストと並行して、適応的なセキュリティ・ポリシーを導入する。
- GitHub のアカウントを保護し、脅威によるコードの窃取や C2 インフラとしての悪用を防止する。
- GitHub を悪用するシナリオを攻撃シミュレーションに組み込むことで、脅威検知機能の有効性を継続的に評価する。
- GitHub と協力し、プラットフォーム上での既知の悪意の活動に対する反撃を支援する。
- GitHub を悪用する未知のインスタンスと戦うために、プロアクティブな脅威ハンティングを実行する。
この Recorded Future のレポートは 30ページ近い大作であり、注意すべき事柄を、こと細かく指摘しています。それだけ、GitHub を悪用する頻度が高まり、そのパターンも多様化しているのでしょう。1月19日からは、2FA の義務化もスタートします。少しでも安全な、2024年の GitHub に期待したいです。よろしければ、GitHub で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.