Dropbox の開発者を狙うフィッシング:GitHub リポジトリ侵害と 130 件のコード流出

130 Dropbox code repos plundered after successful phishing attack

2022/11/02 HelpNetSecurity — Dropbox はデータ侵害に遭ったが、攻撃者による Dropbox のアカウント/パスワード/支払い情報などへのアクセスはなかったので、ユーザーは心配する必要ない。その代わりに、同社が GitHub にホストしている 130件のプライベート・リポジトリーからコードが取得されてしまった。

Continue reading “Dropbox の開発者を狙うフィッシング:GitHub リポジトリ侵害と 130 件のコード流出”

CircleCI で進行するフィッシング:GitHub のアカウント認証情報と 2FA コードを盗み出す

Hackers stealing GitHub accounts using fake CircleCI notifications

2022/09/22 BleepingComputer — GitHub は、9月16日に始まったフィッシング・キャンペーンが活発に進行していることについて、注意を呼びかけている。具体的に言うと、継続的なインテグレーションとデリバリーのプラットフォームである、CircleCI になりすましたメールがユーザーを狙っているという。この偽メッセージは、「ユーザー規約とプライバシー・ポリシーが変更されたことをユーザー知らせ、GitHub アカウントにサインインして変更を受け入れ、サービスを使い続ける必要がある」と述べている。

Continue reading “CircleCI で進行するフィッシング:GitHub のアカウント認証情報と 2FA コードを盗み出す”

Google と GitHub が協力:ソフトウェアの真正性確保によりサプライチェーン攻撃に対抗

Google Teams Up With GitHub for Supply Chain Security

2022/04/07 SecurityWeek — Google と GitHub が協力して、SolarWinds や Codecov に影響を与えたような、ソフトウェア・サプライチェーン攻撃に対抗するための、防御ソリューションを提供している。Google の Open Source Security Team の説明によると、SolarWinds の攻撃では、ハッカーがビルド・サーバーを制御し、ビルド・プラットフォームに悪意のアーティファクトを注入している。また、Codecov の攻撃では、脅威者は信頼できるビルド・サーバを迂回して、悪意のアーティファクトをアップロードしていた。

Continue reading “Google と GitHub が協力:ソフトウェアの真正性確保によりサプライチェーン攻撃に対抗”

Secure Software Summit:OSS サプライチェーン・セキュリティの現状について

Secure Software Summit: The State of OSS Supply Chain Security

2022/03/17 SecurityBoulevard — Open Source Software (OSS) サプライチェーンが、サイバー攻撃にさらされている。最近の Log4Shell 脆弱性に見られるように、OSS のサプライチェーンは、セキュリティの弱点を突こうとする、攻撃者の焦点となりつつある。数多くの調査レポートにおいて、いわゆる次世代ソフトウェア・サプライチェーン攻撃の、過去 10年間での大幅な増加が示されている。これらの攻撃は、ソースコード/ビルドシステム/CI/CDツール/コードテスト・ツールといった、ソフトウェア・サプライチェーンの重要なリンクの侵害を狙ったものである。

Continue reading “Secure Software Summit:OSS サプライチェーン・セキュリティの現状について”

ポイズンド・パイプライン:CI/CD 環境における攻撃メソッドについて

Poisoned pipelines: Security researcher explores attack methods in CI environments

2022/02/16 DailySwig — あるセキュリティ研究者が、Source Code Management (SCM) リポジトリのパーミッションを悪用することで、CI ポイズニング攻撃 (Poisoned Pipeline Attacks) につながることを解説している。Continuous Integration (CI)/Continuous Delivery (CD) プラットフォームを含む開発者のための環境は、コードのマージ/ソフトウェアビルドの自動化/テスト/DevOps プロジェクトへのコード提供のための、基本的なビルディング・ブロックである。

Continue reading “ポイズンド・パイプライン:CI/CD 環境における攻撃メソッドについて”

Google が考えるセキュアな OSS:開発者たちに1億円の報奨金を準備する

Google Contributes $1M to Reward Developers for OSS Security

2021/10/01 SecurityBoulevard — 今日 Google は、Linux Foundation により管理される Secure Open Source (SOS) Pilot Program を立ち上げた。このプログラムでは、オープンソース・ソフトウェアの安全性を高める取り組みを行った開発者に対して、$1 million の報酬が提供される。Google Open Source Security Team の Principal Engineer and Manager である Abhishek Arya は、「今回の取り組みは、Google が以前から行ってきた $10 billion 規模のオープンソース・セキュリティへの取り組みの最新版だ」と述べている。

Continue reading “Google が考えるセキュアな OSS:開発者たちに1億円の報奨金を準備する”

クラウド・インフラの認証を再考:GitOps のすすめ

Rethinking Cloud Infrastructure Authentication

2021/08/30 SecurityBoulevard — 願わくば p4$$w0r9s を超えて、すべてのクラウド・インフラでセキュアなキーと多要素認証 (MFA) を使ってもらいたいものだ。しかし、それぞれの小さなノードや、ソフトウェア、サーバ、管理コンソールなどにアクセスできる人が、何人いるか把握されているだろうか?スクリプトが実行できるようにするために、どれだけのキーが散らばっているだろうか?信頼できる IP は何個あるだろうか?もし悪意のある人が、これらのうちの1つを手に入れたら、ネットワークがダウンする可能性があるのだろうか?誰かが退職したときに、変更しなければならないパスワードは何個あるのだろうか?

Continue reading “クラウド・インフラの認証を再考:GitOps のすすめ”