最近 GitHub で発見されたセキュリティ問題や類似する制御システム製品の同様の問題は、昔ながらのいわゆる「バグではなく仕様です」の部類に該当するようです。
先週、削除された GitHub のフォークがどのように機能するかについて、セキュリティ研究者らが調査結果を発表しました。攻撃者がプロジェクトのキーを盗み、GitHub 上のあらゆるプロジェクトの削除されたフォークやバージョンを参照できるようになる可能性があります。
これは、必ずしも「新しい」発見ではないかもしれません。ソーシャルメディアではすぐに、こうした製品は必ずそのように設計されているのであって、新しい種類のエクスプロイトについて発表されたわけではないとの指摘が見られました。しかし、この調査結果の発表前に、Truffle Security 社のブログが公開されています。それによると、某大手テクノロジー企業が、従業員の GitHub アカウントの秘密キーを誤って流出させました。これへの対処としてリポジトリを完全に削除したものの、引き続き参照できる状態になっており、悪意のある可能性のあるユーザーによってアクセスされていたとのことです。
この潜在的な問題について、GitLab や Bitbucket のような類似のソフトウェアでの検証は行われていませんが、おそらくどれも同じような設計となっていると考えられます。GitHub の大きな違いは、ユーザーが正しい識別ハッシュ(または少なくともその一部)を持っていれば、削除されたコミットや未公開のコミットをフォーク経由でダウンロードできることです。
ここで問題になるのが、この問題に対処するための現実的なパッチや修正プログラムが存在しないこと、そして、今やこの問題が広く知られ、インターネットに公表されてしまったことです。
GitHub は The Register 誌の取材に対し、これはソフトウェアの設計の一部であり、変更するための取り組みは行われないと思われると答えています。
同社は、「GitHub は、報告されたセキュリティ問題の調査に全力を尽くしています。当社はこのレポートを認識しており、これがフォークネットワークの機能に付随する予期された動作であり、文書化もされていることを確認しました。可視性の削除や変更がリポジトリのフォークにどのように影響するかについて詳しくは、当社のドキュメントをご覧ください」と、オンラインニュース媒体 The Register に対する声明の中で述べました。
ユーザー(特に GitHub を主に使っている民間企業)が学ぶべき教訓は、GitHub で作成され管理されているプロジェクトのような、オープンソースのソフトウェアを使うことに伴う危険性を理解するということです(明日の朝公開される『Talos Takes』のエピソードで、Martin Lee と私がさらに詳しく語る予定です)。
もう 1 つの教訓としては、もしあなたが GitHub のユーザーで、どこかの時点でキーを公開したのであれば、もう誰かがコピーしていると考えるべきでしょう。つまり、そのキーへの参照を削除するだけでなく、キーをローテーションし、不適切に使われていないかどうかをチェックする必要があるということです。
重要な情報
Cisco Talos はこのほど、台湾政府の関係研究機関を侵害したマルウェア攻撃を発見しました。ShadowPad マルウェアや Cobalt Strike などのカスタマイズしたツールを送り込み、侵害後のアクティビティを実行するこの攻撃は 2023 年 7 月には始まっていました。攻撃対象のエンドポイントで実行されたアクティビティは、中国のハッキンググループ APT41 のアクティビティと非常に似通っています。今回の攻撃におけるマルウェア、オープンソースツール、プロジェクトの組み合わせ方や、手順、侵害後のアクティビティは、APT41 の攻撃手法と一致しています。ShadowPad は、一般に PlugX の後継ツールと考えられているモジュール型のリモートアクセス型トロイの木馬(RAT)であり、中国のハッキンググループにのみ販売されていることが確認されています。
注意すべき理由
APT41 は、あらゆるユーザーとサイバーセキュリティ関係者が把握しておくべき、活発に活動する危険な攻撃グループです。Amoeba、Bronze Atlas、Wicked Spider などの別名もあり、中国政府の支援を受けてスパイ活動や金銭目的のサイバー犯罪を実行することで知られています。APT41 がカスタマイズされたローダーを作成し、Microsoft COM for Windows に存在するリモートコード実行の脆弱性である CVE-2018-0824のコンセプト実証をメモリに直接挿入して、ローカル特権昇格を実現していたことも Talos は明らかにしました。
必要な対策
この攻撃グループは通常 CVE-2018-0824 をエクスプロイトしようとしますが、この脆弱性については、Microsoft 社がずっと前からパッチを提供しています。ユーザーは、この脆弱性(および Windows に存在する数百の他の脆弱性)から保護するために、すべての Windows システムを最新バージョンに更新するようにしてください。また、APT41 が使用する ShadowPad マルウェアと Cobalt Strike ビーコンを検出できる新しい ClamAV シグネチャと Snort ルールを Talos がリリースしています。
今週のセキュリティ関連のトップニュース
CrowdStrike に関連した大規模インシデントの発生から数日後、また別の Microsoft の障害が発生。水曜日の朝に発生した障害により、Microsoft Outlook とビデオゲーム『Minecraft』が約 10 時間にわたって影響を受け、問題を報告したユーザーは数千人に及びました。国際的な混乱と数千万ドルの損害が発生した先週末の大規模障害のすぐ後のことであり、このインシデントへの注目が高まっています。Microsoft 社は、障害の解消後、分散型サービス妨害(DDoS)攻撃によって最初の問題が引き起こされ、この DDoS 攻撃から防御するための追加の緩和策はうまくいかなかったと説明しました。Microsoft 社の Web サイトに掲載された通知によると、この障害により、Microsoft Azure(同社の多くのサービスを支えるクラウドプラットフォーム)と Microsoft 365 が影響を受けました。また、クラウドシステムの Intune と Entra も影響を受けたとのことです。前回の障害には直接関係していないにもかかわらず、インシデント発生以来、Microsoft 社は監視下に置かれています。なお、前回の障害は、CrowdStrike Falcon の欠陥のあるアップデートが Windows 11 の多くのバージョンにプッシュされたことにより引き起こされました(情報源:BBC、Forbes)。
Android 用スパイウェア Mandrake の新バージョンが、Google Play ストアの偽アプリを通じて拡散か。新たな調査によると、このスパイウェアは、ユーザーのモバイルデバイス上の位置情報や行動を気づかれずに追跡するためのもので、2022 年以降で 32,000 回以上ダウンロードされているとのことです。Mandrake の元々のバージョンは 2 つの期間に展開されていました。最初が 2016 年~ 2017 年、次が 2018 年~ 2020 年です。通常のスパイウェア機能を持つことに加え、Mandrake はキルスイッチでデバイスを完全に消去し、マルウェアの痕跡を残しません。スパイウェアの標的となるのは、一般的に、政治家、活動家、ジャーナリストなど、非常に狙われやすい個人です。自分の大切な人を気づかれずに追跡するために、配偶者や恋人が使用することもあります。最もよく使われた偽アプリは、ファイル共有アプリと謳っていた AirFS で、Google Play ストアから削除されるまでに 3 万回以上ダウンロードされました。ユーザーが偽アプリをインストールすると、知らないうちに Mandrake マルウェアがインストールされます。このマルウェアは、不正アプリを口実に画面にオーバーレイを表示する許可をユーザーに求めます(情報源:Bleeping Computer、Security Affairs)。
北朝鮮の APT グループ Andariel、米国の兵器システムに対し、過去 2 年間にわたってスパイ活動に重点を置いた一連の攻撃を展開。セキュリティ研究者によると、国家の支援を受けた同グループは、医療機関、防衛請負業者、核施設を標的としていました。自国の兵器プログラムの改善につながる可能性のある情報を盗むのが目的と見られています。北朝鮮は、核兵器の保有を西側諸国に対する威嚇として常々利用しています。これとは別に、米国の病院に対する複数のサイバー攻撃に関与した疑いで、北朝鮮国民が起訴されました。北朝鮮の偵察総局との関係が疑われるこの人物は、フロリダ州とカンザス州の病院、アーカンソー州とコネチカット州の医療機関、コロラド州の診療所を攻撃対象にしたとされています。米国務省は、Rim Jong Hyok の逮捕につながる情報に対して、最高 1,000 万ドルの報奨金を提供しています(情報源:The Record、CNN)。
Talos についての関連情報
- 企業を標的としたランサムウェアとメールによる攻撃が、これまでになく増加
- リーダーが語る Cisco Talos の歴史
- 脆弱性のまとめ:NVIDIA ドライバに境界外読み取りの脆弱性、オープンソースのフラッシュカード ソフトウェアにはセキュリティ上の問題が複数存在
- 『Talos Takes』エピソード#192:攻撃者の動向と、この四半期で最も流行したマルウェア
Talos が参加予定のイベント
BlackHat USA(8 月 3 日~ 8 日)
ネバダ州ラスベガス
Defcon(8 月 8 日~ 11 日)
ネバダ州ラスベガス
BSides Krakow(9 月 14 日)
クラクフ(ポーランド)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5: 8c69830a50fb85d8a794fa46643493b2
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Dropper.Generic::1201
SHA 256:161937ed1502c491748d055287898dd37af96405aeff48c2500b834f6739e72d
MD5: fd743b55d530e0468805de0e83758fe9
一般的なファイル名: KMSAuto Net.exe
偽装名:KMSAuto Net
検出名: W32.File.MalParent
SHA 256:24283c2eda68c559f85db7bf7ccfe3f81e2c7dfc98a304b2056f1a7c053594fe
MD5: 49ae44d48c8ff0ee1b23a310cb2ecf5a
一般的なファイル名: nYzVlQyRnQmDcXk
偽装名:なし
検出名:Win.Dropper.Scar::tpd
SHA 256:bea312ccbc8a912d4322b45ea64d69bb3add4d818fd1eb7723260b11d76a138a
MD5: 200206279107f4a2bb1832e3fcd7d64c
一般的なファイル名: lsgkozfm.bat
偽装名:なし
検出名: Win.Dropper.Scar::tpd
本稿は 2024 年 08 月 01 日にTalos Group のブログに投稿された「There is no real fix to the security issues recently found in GitHub and other similar software」の抄訳です。