CISAの請負業者によるGitHubの事件で、具体的に何が漏洩しましたか？

請負業者は、平文パスワードと高特権AWSクラウドキーを公開GitHubリポジトリに露出させました。平文パスワードは技術的なスキルを必要とせず使用でき、高特権AWSキーは誰でもデータの読み取り、サーバーの起動や破壊、クラウド設定の変更を可能にします。

高特権AWSキーが特に危険とされる理由は何ですか？

高特権AWSキーは、保持者にデータの読み取り、サーバーの破壊、設定の変更、そして接続されたシステムへのさらなる侵入を可能にします。この漏洩は、関係するアカウントが個人の開発者アカウントよりも高いリスクを伴うGovCloudアカウントであったと報告されているため、特に深刻でした。

露出した資格情報は、どれくらい早く他者に発見される可能性がありましたか？

自動化されたボットは、ファイルがプッシュされてから数分以内に露出した資格情報を求めてGitHubを定期的にスキャンしています。露出の時間は短かったかもしれませんが、リスクは現実かつ深刻なものと見なされていました。

政府機関が基本的なセキュリティ対策で繰り返し失敗する理由は何ですか？

いくつかの要因が寄与しています。正規職員と同じセキュリティトレーニングを受けずに機関の監督の周縁で活動する請負業者、素早く進めることへのプレッシャーから近道を取りがちな開発者、そして資格情報管理に対する単一の責任窓口のない大規模組織における秘密情報の拡散などが挙げられます。

この種の事件は政府機関にとって珍しいことですか？

いいえ。本記事では、政府機関とその請負業者は、他者が従うべきセキュリティのルールブックを書きながら、基本的なセキュリティの実践でつまずくという十分に記録されたパターンを持っていると指摘しています。記事はFBI長官の個人メールへの不正アクセスを、同様のダイナミクスの別の例として挙げています。

CISAの請負業者がAWSキーとパスワードを公開GitHubリポジトリに漏洩

サイバーセキュリティ・インフラセキュリティ庁（CISA）は、デジタルインフラの保護における米国政府の主要機関です。セキュリティ勧告を発行し、連邦機関の基準を設定し、資格情報の管理についても定期的に国民に警告を発しています。そのCISAの請負業者が、平文パスワードと高特権AWSクラウドキーを公開GitHubリポジトリに放置したとき、この事件は同機関の信頼性に深刻な打撃を与えました。この政府の資格情報漏洩から得られるセキュリティの教訓は、ワシントンをはるかに超えた広範な影響を持っています。

CISAの請負業者が実際に露出させたもの

漏洩した内容は軽微なものではありませんでした。平文パスワードとは、最も単純に言えば、資格情報の生の暗号化されていない形式です。平文パスワードを偶然見つけた人は誰でも、技術的なスキルを必要とせず即座にそれを使用できます。解読すべきハッシュも、解除すべきエンコードも存在しません。

さらに深刻だったのは、露出したAWSクラウドキーです。Amazon Web Services（AWS）のアクセスキーは、クラウド環境のマスター識別子として機能します。特に高特権キーは、それを保持する者にデータの読み取り、サーバーの起動や破壊、設定の変更、そして接続されたシステムへのさらなる侵入を可能にします。議会の民主党議員が回答を求める声明で言及しているGovCloudアカウントの場合、個人の開発者アカウントとは比較にならないほど高いリスクが伴います。

これらすべてが公開GitHubリポジトリに置かれていたという事実は、少なくとも一定期間、誰でも発見可能な状態にあったことを意味します。自動化されたボットは、ファイルがプッシュされてから数分以内に、まさにこのような情報を求めてGitHubを定期的にスキャンしています。露出の時間は短かったかもしれませんが、リスクは現実かつ深刻なものでした。

政府機関が基本的なセキュリティで繰り返し失敗する理由

この事件は孤立したケースではありません。政府機関とその請負業者は、自分たちが他者のために作ったルールブックに従うよう求めながら、基本的なセキュリティの実践につまずくという、十分に記録されたパターンを持っています。FBI長官の個人メールアカウントへの不正アクセスは、同様のダイナミクスを示しています。セキュリティの権威として位置づけられている人々や機関も、最も初歩的な失敗から免れることはできません。

このパターンにはいくつかの構造的な要因が寄与しています。請負業者は機関の監督の周縁で活動しており、正規職員と同じセキュリティトレーニングを受けていない可能性があります。開発者のワークフロー、特にプロジェクトを急いで進める場合、近道を取るプレッシャーが生まれます。資格情報をコードベースにハードコーディングしたり、誤って機密ファイルを公開リポジトリにコミットしたりすることは、あらゆる分野で非常によく見られる開発者のミスです。

大規模な組織はまた、秘密情報の拡散という問題にも苦しんでいます。多数のシステム、多数の資格情報が存在し、それぞれが適切に保存、ローテーション、失効されることを保証する単一の責任窓口が存在しないのです。その組織が政府の請負業者である場合、この拡散は機関、契約、下請け業者にまたがって広がり、こうした種類のミスが起こる可能性のある領域を倍増させます。

機関を信頼する一般ユーザーにとっての意味

ここでの不快な教訓は明快です。いかに権威ある機関であっても、あなたのデータや資格情報の安全な避難場所として信頼することはできません。CISAは連邦サイバーセキュリティガイダンスの基準を設定しています。その機関のために働く請負業者がこれほど根本的なミスを犯す可能性があるなら、あなたの情報を扱う他のいかなる組織もそうしたミスと無縁だと考える根拠はありません。

これが重要なのは、ほとんどの人が政府機関や大企業はセキュリティをきちんと管理しているという暗黙の前提のもとで行動しているからです。彼らは複数のサービスにわたってパスワードを使い回したり、二要素認証をスキップしたりすることを深く考えません。相手のプラットフォームや機関を信頼しているからです。このCISA請負業者の漏洩のような出来事は、その前提を覆すべきです。主要な政府機関に影響を与える侵害は、機関が失敗するかどうかではなく、いつ失敗するかという問題になるほど日常的なものになっています。

あなた個人のセキュリティ態勢は、彼らのものに依存することはできません。

階層的セキュリティのチェックリスト：あなたが実際にコントロールできること

CISAの事件は、自分自身の資格情報の管理を見直す良い機会です。階層的セキュリティとは、単一の障害点がすべての重要なものを危険にさらすことがないようにすることを意味します。以下から始めましょう。

パスワードマネージャー。 パスワードをスプレッドシート、メモアプリ、または記憶の中に保存しているなら、それらは弱く、使い回されているか、その両方です。パスワードマネージャーは、すべてのアカウントに対して複雑でユニークなパスワードを生成・保存します。あるサービスが侵害されても、被害は最小限に抑えられます。

二要素認証（2FA）。 パスワードが平文で露出したとしても、2つ目の要素にアクセスできない攻撃者はログインできません。SMSはSIMスワッピング攻撃で傍受される可能性があるため、可能な限りSMSではなく認証アプリを使用してください。

機密データの暗号化。 資格情報、財務記録、個人情報を含むファイルは、保存時に暗号化されるべきです。クラウドストレージは便利ですが、便利さとセキュリティは同じではありません。

定期的な資格情報の監査。 あなたのメールアドレスやパスワードが既知の侵害データベースに含まれているかどうかを確認してください。Have I Been Pwndのようなサービスを使えば、必要以上のデータを提供することなく検索できます。

VPNの役割。 VPNは、デバイスとインターネット間の接続を暗号化することで、特に公共または信頼できないネットワーク上でのデータ転送を保護します。これはより広範なセキュリティスタックの中で有用な1つの層ですが、資格情報の盗難、フィッシング、あるいはここで起きたような種類の露出からは保護できません。完全なソリューションではなく、複数のツールのうちの1つとして考えてください。

自分自身を守る——機関に任せるのを待ってはいけない

CISAの請負業者の漏洩は同機関にとって恥ずかしい出来事ですが、それ以外の人々にとっては、資格情報の管理が個人の責任であるという具体的なリマインダーです。雇用主、政府機関、またはプラットフォームのいずれも、自分たちの側であなたのデータが正しく扱われることを保証することはできません。あなたがコントロールできるのは、自分自身の資格情報をどのように管理するか、そして単一の障害点が実際にどれだけの被害をもたらすことができるかです。

今週中にパスワードを見直してください。2FAをサポートするすべてのアカウントで有効にしてください。そして、この話をFBI長官のメール侵害とともに、あなたが行う最も重要なセキュリティ上の決断は、誰か他の人のクラウドの中ではなく、あなた自身のデバイス上で行われているという証拠として受け止めてください。