「Codecov」への不正アクセスで「メルカリ」のソースコードと一部顧客情報等が外部流出

こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」5月28日の放送内容を一部抜粋しご紹介します

今回のトピック！
・ニュース解説「「Codecov」への不正アクセスで「メルカリ」のソースコードと一部顧客情報等が外部流出 」
・サプライチェーン攻撃の原因とその対策方法
・過去の古いデータが不適切に残されていた原因

今回の解説ニュース

「Codecov」への不正アクセスで「メルカリ」のソースコードと一部顧客情報等が外部流出 | ScanNetSecurity

フリマアプリのメルカリが利用していた外部サービスに不正アクセスがあり、ソースコードなどが漏洩してしまったということです。サプライチェーン攻撃に関連する被害となりますので、インシデントの内容や対策について説明します。

サプライチェーン攻撃とは、ターゲットとなる組織が依存する外部サービスやソフトウェアを攻撃することで目的を達成するものです。ターゲットとなる組織のセキュリティ対策が十分であっても、外部サービスのセキュリティ対策が不十分である場合、組織に二次被害が及んでしまう可能性があります。

今回、直接攻撃を受けた外部サービスは「Codecov」というコードカバレッジツールです。Codecovの一部機能が第三者によって改ざんされたことにより、Codecovで使っていたユーザの認証情報でアクセスできるサービスやアプリケーションから情報が漏洩した可能性があるということです。

メルカリ社では、自社が使用する外部サービスに認証情報の流出リスクがあることを認識し、直ちに認証情報の初期化に着手したということです。その後、認証情報が初期化される前に同社が使用していたGitHubからソースコードが流出したことが判明し、ソースコードに一部の顧客情報が書かれていたことから、サプライチェーン攻撃から個人情報が漏洩するインシデントに発展してしまったということです。

サプライチェーン攻撃の原因とその対策方法

サプライチェーン攻撃の原因は外部サービスのセキュリティ対策に起因することが多く、外部サービスを含めたサプライチェーン全体のセキュリティリスクを管理することが必要です。実際に使用していた外部サービスを例に挙げながらより具体的に説明します。

今回、メルカリ社が利用して直接の攻撃を受けたCodecovや、直接攻撃は受けていないものの顧客情報が漏洩してしまったGitHubなど、外部サービスに依存してソースコードを管理する開発プロジェクトが多くなってきました。このような状況でサプライチェーン攻撃へ対策するためには、ソースコードは漏洩することを前提にコーディングを行うことが必要です。

具体的には、パスワード情報やアクセスキーなど、認証情報をソースコードに直接書くことは避けるべきです。クラウド環境であれば、アクセスキーの代わりにロールを使用することができます。ロールを使えば、アクセスキーや認証情報を使わずに、あらかじめ設定されたリソースにアクセスすることができます。

また、ソースコードのコメント欄などに不要な機密情報が残されていないか、確認することも必要です。今回、顧客情報がどのような経緯で漏洩したかは不明ですが、本来ソースコードに直接書く必要のない情報であると考えられますので、不要であれば削除してから公開するようにしましょう。

その他のトピックはこちら

過去の古いデータが不適切に残されていた原因
GitHubなど、過去の古いデータが不適切に残されていた原因は、組織変更などで引き継いだデータが受け入れられる段階で見逃されていた可能性があります。今回の詳細については公開されていませんので、あくまでも一般論として説明します。

放送を聴かれるかたはこちら

記　にしもと