自動化されたクラウド展開に広く使用されている Terraform 製品を提供するオープンソース企業 HashiCorp は、今月初めに発見された侵害された Codecov スクリプトによって秘密のコード署名キーが露出したことを明らかにした。
アプリケーションコードのどの程度がユニットテストの対象となっているかを評価するツールを提供するCodecovは、サーバーへのデータアップロードに使用されるスクリプトが改ざんされ、認証情報が攻撃者のサーバーにエクスポートされたと報告した。同社は「誰がこの事象を実行したのかを決定的に特定できていない」と述べている。
Codecovの29,000社の顧客の一つであるHashiCorpは、同社も影響を受けたことを確認しました。具体的には、「HashiCorpのCIパイプラインの一部が、影響を受けたCodecovコンポーネントを使用していた」こと、そして「HashiCorp製品のダウンロードを検証するハッシュの署名に使用されていたGPG秘密鍵が…漏洩した」と述べています。
この漏洩は、攻撃者が正規の鍵で署名しながらHashiCorp製品を改変していた可能性を示唆しているが、同社は「調査では不正使用の証拠は見つかっていない」と述べている。同社は既存のリリースを検証し、漏洩した鍵を失効させ、ダウンロード版に新しい鍵で再署名した。
Codecov 開発ツールは、2 か月間発見されなかった侵害されたスクリプトから盗まれた資格情報を警告します
続きを読む
これはある程度安心材料ではあるものの、Codecovのインシデントと今回の続報には、懸念すべき意味合いがあります。Codecovスクリプトの侵害は1月31日から長期間にわたって発生しており、複数の改変版が存在していました。Codecovは最後に改ざんされたバージョンの詳細を明らかにしていますが、「第三者によるBashアップローダースクリプトの不正な改変が定期的に行われていた」と述べているため、古いバージョンで使用された攻撃については不確実性があります。
継続的インテグレーションの不確実性
二つ目の懸念は、攻撃者が収集した認証情報を、現時点では不明な更なる侵入に利用した可能性があることです。盗まれた認証情報は、CI(継続的インテグレーション)プロセスで使用されるマシンやコンテナの環境変数に保存されていたもので、APIキー、データベースログイン情報、あるいは(HashiCorpの例のように)暗号証明書などが含まれる可能性があります。認証情報を盗むことの最大の目的は、更なる攻撃を可能にすることです。
第三に、HashiCorpツールのエンタープライズコンピューティングへの浸透はCodecovよりも非常に大きい。同社は今月初め、秘密管理製品Vaultの新リリースに際し、「フォーチュン500企業の約25%と、米国の大手銀行20行の70%が、機密性の高いデータの保護にVaultを活用している」と述べた。
HashiCorp の報告書には同社の製品が侵害されたという示唆はないが、一部の製品のビルド プロセスの一部として認証情報を盗むスクリプトが実行されていたという事実は依然として懸念材料である。
同社の声明自体には決定的な根拠はない。HashiCorpは「今回のインシデントで漏洩した可能性のある情報に関して、追加の修復作業を実施しました。インシデント対応活動は継続中で、関連する最新情報と結果は入手次第速やかに共有します」と述べているため、顧客はさらなる漏洩の実態を推測するしかない。
HashiCorpは、問題の存在を察知するだけの洞察力と、顧客に開示するだけの責任感を持っています。他に、規模の大小を問わず、どれだけの例があるでしょうか?どれだけの事例が発見され、どれだけの事例が開示されたのでしょうか?
Reg社のスタッフは、賃貸代理店から「Codecov社から4月15日に、この侵害により3月9日以降のユーザーのすべての個人データにアクセスできた可能性があると通知がありました」というメールを受け取りました。代理店は、異常な活動の証拠はなかったものの、「アカウントの保護を強化するために、新しいパスワードを作成することをお勧めします」と付け加えました。
これが示唆するのは、Codecov の情報漏洩によって影響を受ける可能性のある人々のリストが長く、その影響の全容はまだしばらくは分からないだろうということです。
これは、SolarWinds に対する別のサプライ チェーン攻撃を彷彿とさせます。この攻撃は長期にわたる大規模なものであったことはわかっていますが、その影響の全容は何年もわからない可能性があります。
HashiCorpの顧客はどうすればいいのでしょうか?「HashiCorp製品は公式リリースチャネルからのみダウンロードするようにしてください」と同社は声明で述べていますが、これは確かに事実ではあるものの、特に啓発的なものではありません。®
