Postman に複数の脆弱性:30,000 以上の Workspaces から API Keys などがリーク

Postman Security Lapse: 30,000 Workspaces Leak API Keys & More

202224/12/29 SecurityOnline — API の開発/テストで人気のプラットフォーム Postman に、複数のセキュリティ上の脆弱性が存在することが、CloudSEK の TRIAD チームの最新レポートで明らかにされた。この調査の結果として、パブリック・アクセス可能な 30,000 を超える Postman Workspace で、API キー/トークン/ビジネス・データなどの機密情報が漏洩していることが判明している。

CloudSEK の XVigil プラットフォームを活用した1年間にわたる調査により、Postman Workspace 上において、アクセス制御のミスコンフィグと、不適切なデータ処理方法を原因とする、セキュリティ上の欠陥が発生していることが明らかになった。そこで漏洩している機密データには、以下のものが含まれる。

  • API Keys and Tokens:Razorpay/Zendesk/New Relic などの、主要プラットフォームにおけるアクセス・トークンとリフレッシュ・トークン。これらの漏洩により、支払いシステム/CRM ツール/内部ログへの不正アクセスが可能になる。
  • Confidential Business Data:ヘルスケア/e コマースなどの業界の、プライベート・ワークスペースから漏洩し、顧客データと固有のビジネス・ロジックが危険にさらされる。
  • Sensitive Documentation:エンドポイントと認証方法の詳細が記載された API ドキュメントが公開され、脅威アクターたちの攻撃対象領域が拡大する。

CloudSEK のレポートでは、「Postman 環境には、API キーやトークンから機密ビジネス・ロジックにいたるまでの、機密データが格納されていることが多いため、取り扱いを誤ると攻撃者にとって金脈になる可能性がある」と警告されている。

Source: CloudSEK

これらの機密データの漏洩から、以下のような深刻なリスクが発生する。

  • システムへの不正アクセス:公開されたトークンを悪用する攻撃者は、完全な管理者権限を用いて標的システムにログインできる。このような状況が、漏洩した Zendesk 認証情報のケースで実証されている。
  • 金融詐欺:Razorpay API キーの漏洩により、不正な取引/金銭的損失/支払いシステムの悪用などが引き起こされる可能性がある。
  • 評判の低下: 公開された認証情報を悪用するフィッシング・キャンペーンや、公式コンテンツの改竄などが引き起こされ、大きな影響が生じる可能性がある。

現時点で判明している深刻なインシデントの1つとして挙げられるのは、大手スポーツ・アパレル企業の Okta IAM API 認証情報が、パブリック Postman Workspace から漏洩したという事例である。CloudSEK レポートには、「このようなアクセスが得られるなら、どのような脅威アクターであっても、Postman Workspace に記載されているブランドの、他の内部 API にアクセスする可能性を手にする。それらのアクセスを悪用する脅威アクターは、各種の請求書/取引内容/取引属性/出荷詳細などの、さまざまな商用データを盗み出すことが可能となる」と記されている。

このレポートでは、一連の脆弱性に共通する原因を特定している:

  • 不注意な共有:アクセス制限が不十分なため、共有コレクションおよび環境に埋め込まれた、機密データに対するアクセスが可能になった。
  • アクセス制御のミスコンフィグ:過度に許可された設定により、権限のないユーザーによる機密リソースへのアクセスが可能になった。
  • パブリック・リポジトリ:Postman コレクションを GitHub などのパブリック・リポジトリに同期することで、アクセス権を持つ全のユーザーに対してシークレットが公開された。
  • 機密データのプレーン・テキストでの保存:プレーン・テキストで保存された環境変数と認証詳細には、公開されてしまう危険性が生じている。

これらのリスクに対処するために、CloudSEK が推奨するのは、次のような堅牢なセキュリティ対策の実装である。

  • 環境変数の適切な利用:機密情報のハードコーディングや、変数の定期的なクリアの回避。
  • アクセス権限の制限:共有に関しては、その対象を重要なチーム・メンバーに限定し、付与される権限を定期的に確認する。
  • 外部シークレット管理の採用:機密性の高い認証情報を安全に保存/管理するために、適切に設計されたツールを使用する。
  • 監視とログ記録:アクティビティ・ログを活用してアクセスを監査し、疑わしい動作を検出する。
  • 短命トークン:トークン関しては、長命から短命への置き換えを実施し、漏洩した場合の潜在的な損害を軽減する。

これらの調査結果を受けて、Postman は Public API Network のセキュリティを強化するために、Secret Protection Policy を導入した。現時点において、このプラットフォームは、シークレットが検出されるとユーザーに積極的に警告し、問題の解決とプライベート・ワークスペースへの移行を可能にしている。これらの厳格な措置により、Postman Public API Network ユーザーの安全性と完全性は改善されると、同社は強調している。

この Postman ですが、文中でも指摘されているように、API の開発/テストで人気を博すプラットフォームとのことです。Wikipedia で調べてみたところ、「Postman はインド発のグローバル企業であり、開発者が API を設計/構築/テストするための、また、共同作業するための、API プラットフォームを提供している。すでに、3,000万人を超える登録ユーザーと 50万の組織が、Postman を使用している。Postman は、10万を超えるパブリック API のディレクトリである、Postman API ネットワークも管理しており、世界最大のコレクションとして知られている」と紹介されていました。いまは、サンフランシスコに本社を置いているようです。なんというか、目の付け所にセンスを感じますね。よろしければ、カテゴリ API も、ご参照ください。