エンタングルメントosugi3yのブログ

14年勤めた企業をやめました。映画「時の行路」尾道市実行委員

セキュリティ警告:サードパーティインテグレータ2社に発行されたOAuthユーザートークンの盗難に関わる攻撃キャンペーンについて〜シン・すべてがNになる〜

セキュリティ

 


セキュリティ警告:サードパーティインテグレータ2社に発行されたOAuthユーザートークンの盗難に関わる攻撃キャンペーンについて

 4月12日、GitHub Securityは調査を開始し、攻撃者がHerokuとTravis-CIという2つのサードパーティOAuthインテグレータに発行された盗まれたOAuthユーザートークンを悪用して、npmを含む数十の組織からデータをダウンロードしていた証拠を発見しました。GitHub、npm、そして私たちのユーザーへの影響について、詳しくはこちらをご覧ください。Security alert: Attack campaign involving stolen OAuth user tokens issued to two third-party integrators

Mike Hanley
By Mike Hanley                                                           April 15, 2022

 4月12日、GitHub Securityは調査を開始し、攻撃者がサードパーティのOAuthインテグレータであるHerokuとTravis-CIに発行された盗まれたOAuthユーザートークンを悪用して、npmを含む数十の組織からデータをダウンロードした証拠を発見しました。これらのインテグレーターが管理するアプリケーションは、GitHub自身を含むGitHubのユーザーによって使用されていました。問題のトークンは、GitHubによって元の使用可能な形式で保存されていないため、攻撃者がGitHubまたはそのシステムの侵害を介してこれらのトークンを入手したとは考えられません。直ちに調査を行い、4月13日と14日にHerokuとTravis-CIに調査結果を開示しました。詳細は以下の通りであり、詳細が判明次第、このブログを更新します。 

  GitHub プラットフォーム全体を見ると、Heroku および Travis-CI が管理する OAuth アプリケーションから漏洩した OAuth ユーザートークンが盗まれ、これらのアプリケーションを使用していた数十の被害組織のプライベートリポジトリをダウンロードするために悪用されたと、高い信頼性を持っています。脅威の行為者による他の行動を分析したところ、行為者は、盗まれたOAuthトークンがアクセスできるダウンロードされたプライベートリポジトリのコンテンツをマイニングし、他のインフラにピボットするために使用できる秘密を探っている可能性があることが示唆されました。2022年4月15日現在、既知の影響を受けるOAuthアプリケーション。

  この攻撃は現在も続いている可能性があり、お客様ご自身を守るための対策が必要であると考え、本日このようなお知らせをさせていただきました。

 

GitHub.comとnpmへの影響について

  このキャンペーンに関連する最初の検出は、4月12日にGitHub Securityが、漏洩したAWS APIキーを使用して当社のnpmプロダクションインフラへの不正アクセスを確認したときに起こりました。その後の分析によると、このAPIキーは、攻撃者が、上記の影響を受けた2つのサードパーティOAuthアプリケーションのうちの1つから盗んだOAuthトークンを使用して、プライベートnpmリポジトリ一式をダウンロードした際に入手したものであると考えられます。4月13日の夜、GitHubやnpmが保管していないサードパーティのOAuthトークンが広範囲に渡って盗まれていることが判明した時点で、GitHubとnpmを守るため、これらの危険なアプリケーションのGitHubとnpmの内部使用に関連するトークンを失効する措置を即座に取りました。

  npmへの影響は、GitHub.com上のnpm組織のプライベートリポジトリへの不正アクセスおよびダウンロードと、AWS S3ストレージに存在するnpmパッケージへの潜在的なアクセスの2つだと考えています。現時点では、攻撃者がパッケージを変更したり、ユーザーアカウントのデータや認証情報にアクセスしたりしたことはないと評価しています。npm は GitHub.com とは完全に別のインフラを使用しており、GitHub は今回の攻撃で影響を受けていません。調査を続けていますが、GitHub が所有する他のプライベートリポジトリが、盗まれたサードパーティの OAuth トークンを使用して攻撃者によってクローンされたという証拠は見つかっていません。

 

  GitHub.comのユーザーを保護するためにGitHubが行った対応

 

  GitHubは、GitHubのユーザーに影響を与えるサードパーティ製のOAuthトークンの盗難を確認すると、直ちに対応とユーザー保護のための措置を講じました。GitHubはHerokuとTravis-CIに連絡し、各社でセキュリティ調査を開始し、影響を受けたアプリケーションに関連するすべてのOAuthユーザートークンを失効させ、各社のユーザーに通知する作業を開始するよう要請しました。

  GitHubは、両社と密接に連携し、調査および復旧作業を支援し、共通の顧客をよりよく保護できるように努めています。

 

GitHubの顧客と組織が知っておくべきこと

 GitHubは現在、GitHub.com全体の分析により判明した、既知の被害者ユーザーおよび組織すべてを特定し、通知する作業を進めています。これらのお客様には、今後72時間以内に、GitHubから追加の詳細と次のステップを記載した通知メールが送信され、お客様自身の対応を支援することになります。

  通知が届かない場合、お客様および/またはお客様の組織は、影響を受けることが確認されていません。GitHub は、影響を受けるユーザーや組織が特定され次第、引き続き通知します。ただし、組織へのアクセスを許可した、または許可されている OAuth アプリケーションを定期的に確認し、不要になったものを削除する必要があります。また、組織の監査ログユーザーアカウントのセキュリティログを確認し、予期しない、または異常なアクティビティがないかどうかを確認することもできます。

ご質問やご不明な点がある場合

 Herokuが管理するOAuthアプリケーションに関するご質問やサポートが必要な場合は、Salesforce / Heroku security and support at help.heroku.com にご連絡ください。また、Salesforce Trustサイトでは、さらなる最新情報をご確認ください。]

 Travis CI が管理する OAuth アプリケーションに関するご質問やサポートが必要な場合は、compliance@travis-ci.com までご連絡ください。

 この問題に関してGitHubから直接連絡を受けたお客様は、受け取った通知の指示に従って、弊社までご連絡ください。

  その他、GitHubやnpmに関するご質問は、GitHubサポートにお問い合わせください。

結語

  GitHub、npm、そしてより広い開発者エコシステムのセキュリティと信頼性を確保することは、当社の最優先事項です。調査は継続中であり、詳細が判明次第、このブログおよび影響を受けるお客様とのコミュニケーションを更新します。

github.blog

 

www.DeepL.com/Translator(無料版)で翻訳しました。