『メルカリの「Codecov」利用に起因する不正アクセス詳細調査、新たに38件の外部流出確認』
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」8月18日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・大きく3つの段階を経てインシデントに発展
・コーディング時にセキュリティの観点で気を付けるべきポイント
今回の解説ニュース
フリマアプリのメルカリが利用していた外部サービスに不正アクセスがあり、ソースコードが漏洩してしまったインシデントの調査が完了したということです。社会的な課題であるサプライチェーン攻撃に関連する被害となりますので、内容について再度見ていきましょう。
サプライチェーン攻撃とは、ターゲットとなる組織が依存する外部サービスやソフトウェアを攻撃することで目的を達成するものです。外部サービスへの依存度が増す中、自組織のセキュリティ対策が及ばない範囲でインシデントが発生してしまうため、対策が難しい攻撃の一つと言われています。
今回のインシデントでは、メルカリ自体やソースコードを保存していたGitHubには脆弱性は確認されておらず、GitHubと連携するコードカバレッジツールCodecovに脆弱性があり、その影響を受ける形でGitHubからメルカリのソースコードが漏洩してしまったということです。
事態を悪化させたのは、ソースコードに顧客情報などが書かれていたことで、追加で確認された39件を加えて、最終的には27,927件の顧客情報などが漏洩するインシデントに発展してしまいました。まさに、サプライチェーンリスクが顕在化した典型例であると言えます。
大きく3つの段階を経てインシデントに発展
今回のサイバー攻撃は、大きく3つの段階を経てインシデントに発展しています。それぞれの段階について説明します。
■第1段階
Codecovへのサイバー攻撃です。具体的には、CodecovのBash Uploaderが実行するカバレッジファイルをアップロードするスクリプトが何者かの手によって改ざんされていました。Codecovへの侵入経路については確認することができませんでした。
■第2段階
認証情報の取得です。具体的には、CodecovのスクリプトがCI環境の環境変数に設定された情報をすべて攻撃者のサーバへ転送する内容に改ざんされていました。環境変数にはGitHubの認証情報なども含まれていることが考えられます。
■第3段階
GitHubへの不正アクセスです。不正に入手した認証情報を使ってGitHubに保存されたソースコードが取得されていました。今回のインシデントではソースコードに顧客情報なども書かれていたことから、被害が拡大してしまいました。
考えられる対策としては、Codecovで実行されるスクリプトが改ざんされていないことを常に確認することになりますが、あくまでもCodecovが保持しているスクリプトであれば、利用者側で対応することは難しかったのかもしれません
その他のトピックはこちら
コーディング時にセキュリティの観点で気を付けるべきポイント