韓国のオンラインサービスで相次いだ個人情報流出事故で、開発者のコード管理サービス「GitHub」の認証情報管理が焦点となっている。クラウド接続キーやアカウントキーがコード内に残ったまま露出すれば、データベース侵入の通路になり得るためだ。
動画配信サービスのティービングは、DBサーバーのCPU使用率が100%に達する異常を確認する過程で、不正なDB接近とクエリ実行の痕跡を把握した。申告書には、攻撃に使われたとみられるAWSアクセスキーの廃棄、GitHubに直接記載されていた認証情報の除去・交換、クラウド接近統制の変更が記された。
AWSアクセスキーはクラウドサーバーやDBに入るための認証情報で、外部に漏れれば攻撃者が正規権限を持つ人物のように内部へ接近できる。専門家は、脆弱性を突いた攻撃というより、DBに接近できるキーがGitHub上に露出した可能性を指摘する。ただし、正確な経路は内部調査が必要だ。
教育サービス企業デイワンカンパニーも、GitHubのマスターアカウントキーが盗まれ、5月9日にサービス侵入が始まったと顧客に通知した。氏名、メールアドレス、電話番号、暗号化パスワードのほか、一部では住所や宅配メモ情報も流出した可能性がある。
GitHubでは過去の変更履歴にもコードが残るため、現在のコードからキーを削除するだけでは不十分だ。露出したキーは廃棄し、新しいキーへ交換する必要がある。今回の事故は、複雑な攻撃手法だけでなく、開発・運営権限の小さな管理ミスが大規模な個人情報流出につながり得ることを示している。
(c)news1