Grafana、盗まれた認証情報がコード窃取の試みにつながったと説明
広く使われているオープンソースのオブザーバビリティ・プラットフォームを手がけるGrafana Labsは、盗まれたトークン認証情報が悪用され、GitLabの開発環境へのアクセスを許した後にハッキングを受けたと述べている。同社の公開声明によれば、侵害されたトークンでは顧客記録や財務情報にはアクセスできなかったが、攻撃者は同社のソースコードリポジトリを入手できたという。
同社は、調査が続く中でそのトークンを無効化し、追加のセキュリティ対策を導入済みだとしている。また、調査完了後にさらに詳細を公表するとしている。
恐喝の要求には応じず
Grafanaによると、攻撃者はコードベースを公開しないことの見返りとして金銭を要求したが、同社はこれを拒否した。この判断について同社は、被害者に対して恐喝犯へ支払わないよう促すFBIの長年の指針を挙げ、支払いをしてもデータが安全に戻る保証にはならず、後日の公開を防ぐこともできないと説明している。
この件が異例なのは、Grafanaの主力ソフトウェアがオープンソースで、すでに公開されているためだ。そのため恐喝の主張は複雑になる。攻撃者がリポジトリにアクセスした可能性はあるものの、同社は主要コードは設計上公開されていると述べており、専有の内部資料も持ち出されたのかは不明のままだ。
オープンソース企業でも依然として重要な理由
中核製品がオープンソースであっても、開発システムの侵害は依然として重大なセキュリティ事案だ。ソースコードリポジトリには、ユーザーがダウンロードするコード以上のものが含まれていることが多い。内部ツール、未公開機能、運用スクリプト、課題の履歴、アーキテクチャの詳細など、攻撃者が企業のソフトウェア開発や提供の仕組みを理解する手がかりが含まれる場合もある。
そのため、顧客データと財務データにはアクセスされなかったというGrafanaの説明は重要だが、この事件を些細なものにするには不十分だ。エンジニアリング系システムへのアクセスはそれ自体がリスクを生み、特に攻撃者が内部プロセスを把握したり、誤ってコミットされた秘密情報を探したりできる場合はなおさらだ。
ソフトウェアセキュリティにおける広がる傾向
この侵害は、ソフトウェアセキュリティのより広い現実も示している。盗まれた認証情報は、依然として重要システムへ到達する最短経路の一つだ。攻撃者は標的製品の新しい脆弱性を見つけるのではなく、トークン、パスワード、開発基盤を解放するアクセス手順など、その周辺の弱い部分を狙うことが多い。
GitLabのような開発プラットフォームは、現代のソフトウェア企業の中心に位置する。コード、共同作業の記録、リリースパイプライン、場合によってはデプロイ経路まで露出させる可能性がある。そのため、最終製品自体がオープンソースであっても魅力的な標的となる。
最近の他の身代金判断との対比
TechCrunchは、教育テクノロジー企業Instructureを巡る最近の事例との対比を指摘している。同社は、盗まれたデータとその後のサイト改ざんを伴う別件の侵害の後、攻撃者に支払う合意に達したと報じられている。Grafanaはその逆の立場を取り、支払い拒否こそがより正当化しやすい対応だと主張している。
この姿勢は、多くのセキュリティ専門家に歓迎される可能性が高い。彼らは長年、定型的な身代金支払いが恐喝攻撃の背後にある犯罪ビジネスモデルを支えていると主張してきた。一方で、支払いを拒否する企業は、盗まれた資料がなお公開される可能性を受け入れることになる。
今後注視すべき点
最も重要な未解決点は、攻撃者がGrafanaの公開コードに紐づくリポジトリ以上のものを入手したのかどうかだ。同社は、専有の内部コード、認証情報、運用文書が露出したかどうかをまだ明言していない。最終的なインシデント報告によって、これが主に恥ずべき恐喝未遂だったのか、それともより深刻なエンジニアリング侵害だったのかが決まる。
現時点で最も明確な事実は限られているが重要だ。盗まれたトークンが入口を開き、ソースコードリポジトリがアクセスされ、会社によれば顧客データと財務データは露出しておらず、Grafanaは支払いをしない選択をした。
この記事はTechCrunchの報道に基づいています。元の記事を読む。
Originally published on techcrunch.com
