https://www.nichepcgamer.com/archives/microsoft-server-misconfiguration-leaks-confidential-information-of-companies.html
Microsoft (マイクロソフト)のサーバー設定のミスにより、Microsoftと取引を行っている企業の機密情報が流出しました。
設定ミスを発見したSOCRadarによると、111か国、65,000件以上の企業の機密情報がMicrosoftのサーバーから流出したとのこと。SOCRaderは、この被害に遭っていないか調べることができるページを公開しました。ドメイン名を入力することで、流出の有無を調べることができます。
流出があったことについてはMicrosoftも認めており、「認証なしでデータにアクセスできる可能性があった」と述べています。
Microsoftによると、流出した情報は、会社名、氏名、電子メールアドレス、電子メールの内容、電話番号が含まれているほか、Microsoftとの取引に関する添付ファイルも含まれている可能性があるとのこと。また、この流出は、脆弱性に起因するものではなく、あくまでも意図しない設定ミスにより起きたものとのことです。
なお、SOCRadarは、「111か国、65,000件以上の機密情報が流出した」と述べていますが、Microsoftは「SOCRadarが設定ミスについて知らせてくれたことは感謝しているが、SOCRadarが報じた数字は大きく誇張されている」と述べており、実際にはもっと少ないと主張しています。ただし、具体的な数字は明らかにされていません。
Lapsus$の最新情報:マイクロソフトの情報流出事案について精査する
https://www.twx-threatintel.com/threat-intelligence/20220425/latest-from-microsoft-lapsus-breach/
Lapsus$は相変わらずのハイペースで情報流出を行っています。最近では、マイクロソフトのプロジェクト250件に不正アクセスし、内部ソースコードが外部に流出しました。GitGuardianでは、流出したソースコードを分析し、シークレットスプロールの有無を検証しました。
Lapsus$は相変わらずのハイペースで情報流出を行っています。最近では、マイクロソフトのプロジェクト250件に不正アクセスし、内部ソースコードが外部に流出しました。Lapsus$によると、流出したソースコードのうち90%がBingのもので、45%はBing MapsとCortanaのものだということです。今回の流出は、サムスン、Nvidiaのソースコードの公開さらには、同グループが関与を主張するVodafone、Okta, Ubisoft、Mercado Libreのソースコード流出事案に続くものです。
Lapsus$が標的としているのは管理者アカウントですが、それ以外に企業のプライベートソースコードも積極的にターゲットにしていることが当社の分析からわかっています。こうしたソースコードの価値は、アプリケーションの脆弱性を見つけることができるという以外に、シークレットのような機密情報が高頻度で含まれているという理由もあります。
Lapsus$はどのようにして内部ソースコードにアクセスできたのか
Lapsus$の最初の侵入経路は明らかになっていませんが、マイクロソフトは同社のウェブサイトで、複数の手口が使われていたことを確認済みと発表しています。
マイクロソフトはまた、このグループ(マイクロソフト社内の呼称:Dev-0537)がGitHubの個人パブリックリポジトリ等から流出したとみられる、従業員の個人アカウントを使用していることについても言及しています。
「DEV-0537はまず個人のパーソナルまたはプライベート(業務ではなく個人使用の)アカウントに不正にアクセスし、それを足掛かりとしてほかの社内システムへのアクセスが可能な別の認証情報を探すといったケースもあります。」
情報ソース:https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/
このことは、Lapsus$がどのように組織に侵入しているかを解明するヒントであり、入手経路がアクセス権のない人物からの購入あるいは悪意のあるツールを使った窃取であれ、シークレットと相関関係があることは明らかです。
マイクロソフトは、今回の攻撃による被害は極めて限定的であると発表している一方で、以下のような措置をとっています:
「今回確認された活動において顧客のコードまたはデータのいずれにも影響はありません。当社で調査を実施したところ、不正アクセスされたアカウントは1件であり、これについてはアクセスを制限しました。」
情報ソース:https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/
また、ソースコードの機密性は、同社のセキュリティの取り組みにおいて必須ではないとしています。
「マイクロソフトではコードを機密にすること自体を重要なセキュリティ施策であるとは認識していません。ソースコードが参照できる状態になっていることが、そのままリスクの上昇にはならないということです。」
情報ソース:https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/
GitGuardianによるマイクロソフトソースコードの分析
GitGuardianではマイクロソフトのソースコードを詳しく検証しました。その結果、同社ソースコードにおいてセキュリティに対する明確な取り組みが確認できました。とはいうものの、ソースコードには多くの機密情報が見つかっています。
サムスンからのソースコード流出後、GitGuardianではリポジトリ内に確認されたシークレット件数(APIキー、セキュリティ証明書、認証情報等)について分析を実施していますが、今回マイクロソフトのソースコードについても同様の分析を実施しました。
機密ファイルはなぜソースコードに存在するのか
中心的なソースコードリポジトリは、マイクロソフト規模の組織の場合、膨大な人数の開発者からアクセス可能です。ですが、これほどの開発者数、さらにはGitのようなバージョン管理システムの厳格な性質を考えると、(誰もが認める悪しき慣習であるにもかかわらず)機密情報がコミットされた場合、ミスの頻発は必至でしょう。
GitGuardianが発行する「State of Secrets Sprawl」レポートでは、コードリポジトリ内のシークレットの漏えいあるいはスプロール化を管理するアプリケーションセキュリティエンジニアの大変さについて取り上げています。
2021年の平均では、開発者400名、アプリケーションセキュリティエンジニア4名という平均的な企業の場合、リポジトリとコミットのスキャンで1,050件のシークレット漏えいが検出されます。各シークレットは平均して13か所で検出されることから、対応のための業務量は現時点のAppSec(アプリケーション・セキュリティ)チームの能力を超えています(開発者100名あたり1名のAppSecエンジニア)
情報ソース:https://www.twx-threatintel.com/threat-intelligence/20220317/secretssprawl2022/
マイクロソフトのソースコードに含まれるシークレット件数は、同規模の組織と比べた場合、はるかに少ない件数です。このことは同時に、かなりのリソースを割き、どれほどセキュリティに力を入れている企業であっても、ソースコードから機密情報を排除することは難しいということを示しています。
(50)
