検索
連載

「Slack依存の企業」がサイバー攻撃への対策を強化すべき理由

脆弱性や設定ミス以外にもサイバー攻撃者に狙われやすいポイントがある。何に備えなければならないのだろうか。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 サイバー犯罪者の攻撃手法は、脆弱(ぜいじゃく)性やツールの設定ミスを狙うものだけではない。時に意外な場所が、脅威の侵入経路となり得る。

Slackが攻撃されると自社に何が起こるのか

 Slackは2022年12月31日、攻撃者が従業員トークンを幾つか盗み、それを使ってGitHubリポジトリにアクセスしたと発表した(注1)。

 一連の攻撃は2022年12月19日週に始まった。この時点で不審な動きがあると外部から通報が入った。調査の結果、2022年12月27日にもプライベートコードリポジトリがダウンロードされていたことが判明したという。幸いなことにどのリポジトリにも、顧客のデータやそのデータへのアクセス手段、同社の主要なコードベースは含まれていなかった。

 Slackは盗まれたトークンを直ちに無効化した。調査の結果、攻撃者が残りの環境にはアクセスせず、顧客データにもアクセスしなかったと判断した。コードやサービスへの影響はないものの、予防措置として関連する全ての認証情報を変更したという。

業務に欠かせないSlack、これはひとごとではない

 Salesforce.com傘下のSlackは、大手企業でも広く利用されているメッセージングプラットフォームだ。パンデミックが始まり、従業員がリモートやハイブリッドの勤務体系に移行して以来、この状況が続いている。

 企業が重要なコミュニケーション手段としてSlackへの依存度を高めるにつれ、Slackのセキュリティが取り沙汰されるようになった。

 Slackはセキュリティを強化している。2022年8月には、攻撃者の偵察など、異常なアクティビティーを管理者が迅速にレビュー可能にするノーコード監査ログ(注2)を用いた強化計画を発表した。

 今回のインシデントはサービスに内在する脆弱(ぜいじゃく)性の結果ではないとSlackは発表した。しかし、さらなる露出(エクスポージャー)がないかどうかを調査し、監視し続けるという。

 Gartnerのピーター・ファーストブルック氏(アナリスト)は、今回のインシデントは攻撃者が攻撃手段としてアイデンティティー情報を利用する傾向が強まっていることの一環だと述べる。

 「われわれはこれまで、(攻撃者が)脆弱性や設定ミスなどを通じてハッキングするものだと思ってきた。しかし最近では、攻撃者が盗んだパスワードを使ってログインするケースも増えている」(ファーストブルック氏)

 攻撃者は既にSlack以外にもGitHubのリポジトリをターゲットにしている。アイデンティティーアクセス管理プラットフォームを扱うOktaは2022年12月(注3)、自社のソースコードリポジトリがアクセスされ、コピーされたと発表した。このインシデントでは、顧客データにはアクセスされていない。

 これとは別に、静的アプリケーションセキュリティテスト(SAST)を手掛けるCheckmarxの研究者は(注4)、GitHubリポジトリの「名前空間リタイアメントメカニズム」に、「レポジャッキング」(repojacking)と呼ばれる攻撃手法を受ける脆弱性を発見した。このテクニックは、サプライチェーン攻撃のリスクを高めるものだ。

 パスワード管理ツールを提供するLastPassもコードベースの侵害に対処しており、攻撃者が顧客データ保管庫のバックアップをコピーする結果を招いた(注5)。同社は、使用したコードリポジトリを特定していない。

 自社に対して直接サイバー攻撃が向かってくるリスクに加えて、自社が業務で用いるさまざまなサービスを経由した一見して正常に見える攻撃にも備えなければならない。

© Industry Dive. All rights reserved.

ページトップに戻る