CISA職員がAWS GovCloudキーをGitHubで誤って公開
原題: CISA accidentally leaked their own keys on GitHub
なぜ重要か
政府の重要インフラを守る機関自身のセキュリティ管理体制の問題が露呈し、政府系クラウドサービスの信頼性向上が急務となった。
米サイバーセキュリティ・インフラセキュリティ庁(CISA)の契約者が5月15日まで、GitHub上でAWS GovCloudの管理者認証情報や内部システムのパスワードを含む機密データを公開していた。セキュリティ専門家は政府データ漏洩として最も深刻な事例の一つと評価している。
セキュリティ企業GitGuardianの研究者Guillaume Valadonが5月15日、KrebsOnSecurityに対しCISAの契約者による重大な情報漏洩を報告した。問題となったのは「Private-CISA」という名前のGitHubリポジトリで、複数の高権限AWS GovCloudアカウントの認証情報や大量のCISA内部システムへのアクセス情報が含まれていた。
漏洩した情報には「importantAWStokens」というファイルに記載された3つのAmazon AWS GovCloudサーバーの管理者認証情報、「AWS-Workspace-Firefox-Passwords.csv」ファイルに含まれた数十のCISA内部システムの平文ユーザー名とパスワードが含まれていた。これらのシステムには、同機関のセキュアなコード開発環境である「Landing Zone DevSecOps(LZ-DSO)」も含まれていた。
セキュリティコンサルタント会社SeralysのPhilippe Caturegli氏が検証したところ、露出した認証情報により3つのAWS GovCloudアカウントに高権限レベルでアクセス可能であることが確認された。同氏は、このリポジトリがキュレーションされたプロジェクトリポジトリではなく、個人が作業用メモ帳や同期メカニズムとして使用していたパターンと一致すると分析している。
Valadon氏によると、CISA管理者はGitHubのデフォルト設定を意図的に無効化し、SSHキーやその他の機密情報の公開をブロックする機能を停止していた。同氏は「平文パスワードのCSV保存、gitでのバックアップ、GitHub秘密検出機能の明示的な無効化」を指摘し、キャリア史上最悪の漏洩事例と評価した。