リソース
インテリジェンスダイジェスト
Dropboxのソースコードリポジトリが流出しました。
フィッシングキャンペーンにより機密データへの不正アクセスが発生
Rodman Ramezanian - エンタープライズクラウドセキュリティアドバイザー
2022年12月16日 7分で読めます
フィッシング攻撃の最新型が登場しています。クラウドアプリの普及と、シングルサインオン・トークン統合からの使用方法の進化に伴い、データ漏洩を促進する攻撃ベクトルとして見過ごされてきた、ユーザーにアクセスを許可するよう促されるようになってきています。
フィッシング攻撃の最新型が登場しています。クラウドアプリの普及と、シングルサインオン・トークン統合からの使用方法の進化に伴い、データ漏洩を促進する攻撃ベクトルとして見過ごされてきた、ユーザーにアクセスを許可するよう促されるようになってきています。
2022年も終わりに近づき、振り返ってみると、残念ながら注目すべき情報漏洩が後を絶ちませんでした。クラウド環境は、これまでになく高い頻度で狙われ続けています。なぜでしょうか?脅威アクターは、クラウドインフラストラクチャを攻撃しやすい標的と見なしているからです。そして、アクセス権、脆弱性、設定ミスを悪用するための戦術や手口を絶えず洗練させ、最終的には貴重な資産を手に入れようとします。Dropboxの場合、彼らの「秘伝のたれ」であるソースコードが最近標的となりました!
Dropboxは、Uber、Twitch、Samsung、Nvidiaといった企業と同様に、脅威アクターによって内部ソースコードリポジトリを標的とされ、悪用された企業リストに新たに加わりました。
これはどのようにして起こったのでしょうか?残念ながら、またしてもフィッシング詐欺の常套手段でした。Dropboxの従業員を狙った巧妙なフィッシングメール(図1)により、攻撃者はユーザーを偽のログインページにリダイレクトした後、認証情報を盗むことに成功しました。
企業のGitHubアカウントとCircleCIのCI/CDサービスとの連携を促進すると偽り、従業員はDropboxが推奨するGitHubのユーザー名とパスワードの入力を求められました。続いて、ハードウェアベースの認証トークンを使用してワンタイムパスワード(OTP)を入力するよう求められました。
判明したところによると、攻撃者によって侵害されたGitHubアカウントは、Dropboxの開発者のものでした。これにより、攻撃者はGitHubに保存されている約130のDropboxの内部ソースコードリポジトリへのアクセス権を獲得しました。さらに、開発者が使用するAPIキー、そしてDropboxの従業員、現在および過去の顧客、ベンダー、営業リードに関する様々なデータも入手しました。
なぜこれらの侵害が発生するのでしょうか?
最近の攻撃で見てきたように、より価値のあるデータがクラウドインフラストラクチャの領域に流入するにつれて、内部の特権ユーザーを標的とすることは、サイバー犯罪者にとって依然として活発な市場となっています。
フィッシングを伴うこの種の攻撃は、決して新しいものではありません。残念ながら、人間がすべてのフィッシングの誘いを検出することは不可能であることが証明されています。多くの人にとって、リンクや添付ファイルを開くことは仕事の不可欠な一部であるというのが現実です。
驚くべきことに、最も疑り深く、注意深いIT専門家でさえ、適切なタイミングで適切な方法で届けられた巧妙に作成されたメッセージの犠牲になる可能性があります。このため、フィッシングは攻撃者にとって非常に成功率の高い手口であり続けています。脅威が複雑化し、高度化するにつれて、セキュリティチームは、組織の攻撃対象領域を制限し、貴重な資産、すなわち非常に機密性の高い専有データを保護するために、適切な技術的制御に注意を払う必要があります。
何ができるでしょうか?
フィッシングのような脅威について話すとき、サイバー意識向上とメール安全トレーニングは、従業員が巧妙なメール、添付ファイル、リンクなどに直面した際に、より警戒心を持つようになるための賢明なアイデアです。
しかし、ユーザーが被害に遭う可能性が高いことを考えると、十分な技術的制御を軽視することはできません。
最低限、セキュリティチームは、企業リソースによって利用されるGitHubのようなクラウド環境に対するガバナンス、可視性、および制御を監視し、維持する必要があります。通常、多くのチームは、クラウドサービスへのアクセスとデータの出入りを管理することでこれを達成しようとしますが、サービス自体の中で一貫したセキュリティ制御を実装および管理することには至っていません。現実として、これらのクラウドアプリケーションやプラットフォーム内では、ユーザー、そして明らかに攻撃者も、組織のデータと最善の利益を安全に保つという文脈において「関心のある」と見なされる多種多様な活動を実行できます。
セキュリティ運用管理者がGitHubでのユーザーアクティビティを監視し、Data Loss Preventionポリシーを適用し、機械学習アルゴリズムによって強化されたユーザーおよびエンティティ行動分析 (UEBA) をレビューできるようにすることで、セキュリティチームは、はるかに豊富な可視性と強力な制御から恩恵を受けることができます。特に、同様のフィッシング攻撃によって企業GitHubテナンシーへの不正アクセスが行われた可能性がある場合に有効です。
さらに、ユーザーが誤ってフィッシングリンクをクリックした場合でも、高性能なプロキシソリューションは、悪意のあるウェブページへの要求されたウェブトラフィックを検査することで、非常に大きな価値を提供できます。そうすることで、プロキシソリューションは、ページ内のコンテンツ、ウェブアドレスの評判(特にそのドメインが最近登録されたばかりであるか、ウェブ評判エンジンによって未分類である場合)、およびその他の様々な属性に基づいて、ユーザーを即座に検出して危害から保護することができます。
Skyhigh Securityが同様のコンテンツをどのように分析するかを以下に示します。
Skyhigh Security をご利用ですか?
サイバーセキュリティ業界で11年以上の豊富な経験を持つ Rodman Ramezanian は、Skyhigh Security のエンタープライズクラウドセキュリティアドバイザーであり、技術アドバイザリー、イネーブルメント、ソリューション設計、アーキテクチャを担当しています。この役割において、Rodman は主にオーストラリア連邦政府、防衛機関、および企業組織に焦点を当てています。
ロッドマンは、敵対的脅威インテリジェンス、サイバー犯罪、データ保護、クラウドセキュリティの分野を専門としています。彼はオーストラリア信号局 (ASD) が認定するIRAP評価者であり、現在、CISSP、CCSP、CISA、CDPSE、Microsoft Azure、およびMITRE ATT&CK CTIの認定資格を保有しています。
率直に言って、ロッドマンは複雑な事柄を簡単な言葉で説明することに強い情熱を持っており、一般の人々や新しいセキュリティプロフェッショナルがサイバーセキュリティの「何を、なぜ、どのように」を理解するのを助けています。
攻撃のハイライト
- 脅威アクターは、Dropboxが内部で利用している人気のCI/CDプラットフォームであるCircleCIを装った、広範囲にわたるフィッシングメールを送信しました。
- フィッシングメールは被害者を偽のCircleCIログインページに誘導し、そこでユーザーはGitHubの認証情報を入力しました。CircleCIはGitHubの認証情報でのログインを許可していました。
- 偽サイトは、ユーザーにハードウェア認証キーによって生成されるワンタイムパスワード(OTP)の入力も促しました。
- 攻撃者は最終的に、Dropbox従業員から提供されたOTPと認証情報を使用して、被害者のGitHubアカウントへのアクセス権を獲得しました。
- 脅威アクターは、公開コードとプライベートコードの両方を含む130の内部リポジトリをクローンしました。
- この攻撃は、単なる低レベルの「ばらまき型」フィッシングキャンペーンではありませんでした。攻撃者がDropboxがCircleCIを使用していることを知っていたと思われること、そしてハードウェアキーと通信し、ワンタイムパスワードを攻撃者に渡すことができたという事実は、より高度な手口を示しています。
