Twilio社、改ざんされたCodecov社のBash Uploaderツールにより情報漏えいの被害に:サプライチェーン攻撃

クラウドコミュニケーションを提供しているTwilio社は、先日発生したCodecov社のソフトウェア改ざんのサプライチェーン攻撃の影響を受けていたことを明らかにしました。

人気の高いコードカバレッジツールであるCodecovは、実はサプライチェーン攻撃の被害に2ヶ月間あっていたことがわかりました。

サプライチェーン攻撃とは?

この2ヶ月の間に攻撃者は正規のCodecov Bash Uploaderツールを改ざんし、Codecovの顧客のCI/CD環境から環境変数(キー、トークン、認証情報などの機密情報を含む)を流出させていました。

Codecov社を攻撃した攻撃者は、改ざんされたBash Uploaderから取得した認証情報を利用して、数百の顧客のネットワークに侵入したと報告されています。

Twilio社:少数の顧客の電子メールアドレスが流出

クラウドコミュニケーションおよびVoIPプラットフォームであるTwilio社は、Codecov社のサプライチェーン攻撃の影響を受けたことを発表しました。

2021年4月にCodecov社のBash Uploaderに関するセキュリティインシデントを公開した直後、Twilio社も影響を受けたとの通知を受けました。

しかし、Twilio社は不正に改変されたBash Uploaderコンポーネントは、Twilio社の少数のプロジェクトやCIパイプラインで活発に使用されており、重要なシステムには関係していないとしています。

「このツールを使用したプロジェクトやCIパイプラインは、当社の通信APIの更新や機能を提供するためのクリティカルパスには含まれていません。当社のその後の調査で、この結果少数の電子メールアドレスが未知の攻撃者によって流出した可能性が高いことが判明しました。当社は、影響を受けた方々に個人的に通知し、潜在的に公開されている認証情報を徹底的に確認して修正してくただくことにより、さらなる潜在的被害を回避しました。」

「今回のサプライチェーン攻撃による機密漏洩を防ぐことはできませんでしたが、不用意な機密漏洩を防ぐために、GitHubのプルリクエストをスキャンする「Deadshot」と呼ばれるサービスを社内で運用しています。このサービスは、プルリクエストをリアルタイムでスキャンし、GitHubにマージされるコードに含まれる秘密やその他の一般的な安全でないコーディング手法を特定します。安全でないコードを発見した場合、Deadshotはプルリクエストを行ったユーザーに通知し、特定の種類のシークレットが発見された場合はProduct Securityチームに通知します。これにより、開発者はGitHubにマージする前に、コードを削除したり変更したりすることができます。」

「また、製品セキュリティチームは、スタティック・アプリケーション・セキュリティ・テストを実施するためのツールを環境内で管理しています。このツールは、コード内の秘密のスキャンを行うとともに、安全でないコーディング方法などのセキュリティ上の問題や、OWASP Top 10などの脆弱性を探します。このようにして、当社のコードを含むGitHubリポジトリへの不正アクセスがあった場合、そのような不正な行為者によって引き起こされる可能性のあるさらなる損害を抑制します。」

「繰り返しになりますが、現時点では、少数の電子メールアドレスを除き、いかなる顧客データもアクセスされた形跡はなく、危険性もありません。また、Twilio社の製品の可用性や機能性に問題はなく、予見もしていません。変更があった場合は、Twilio社のセキュリティインシデント対応チームがこのページで最新情報をお知らせします。さらにご不明な点がございましたら、お客様のカスタマーサポートパートナーにお問い合わせください。」

と、Twilio社はコメントしています。

https://www.twilio.com/blog/response-to-the-codecov-vulnerability

GitHubリポジトリで見つかった電子メールアドレス

4月22日、GitHubはCodecovに関連する不審な活動を検出しTwilioのユーザートークンが公開されたことをTwilioに通知しました。

「GitHub.comは、我々がCodecov社から通知を受ける前に、攻撃者によって複製された一連のGitHubリポジトリを特定していました。」とTwilio社は報告しています。

Twilioのセキュリティチームが「Twilioの顧客に属する少数のメールアドレス」を発見したのは、これらのGitHubリポジトリの1つでしたが、この「少数」が具体的にどのようなものであるかは公表されていません。

Twilio社は、現時点では他の顧客データが流出した兆候や証拠はなく、Twilio社のリポジトリが攻撃者によって何らかの形で変更されたこともないとしています。

また、Twilio社は今後このような事件を検知するために、GitHubのプルリクエストをリアルタイムでスキャンし、公開された秘密や一般的な安全でないコーディングを発見するなどの対策を講じています。

実は被害を受けたのはTwilio社だけではなかった

Codecov社のサプライチェーン攻撃の影響を受けた企業は、Twilio社だけではありません。

先月、HashiCorp社は同社のGPG秘密鍵が攻撃で暴露されたことを公表していました。

この鍵は、ソフトウェア・リリースの署名と検証に使用されていたため、鍵の更新を行う必要がありました。

Codecov社が今回の攻撃を発見する以前、Bash Uploaderは何千ものオープンソースプロジェクトで使用されており、Mozilla Firefoxコミュニティのメンバーが、Codecovの攻撃を受けて秘密情報を更新しているという投稿があったこともわかっています。

Mozillaは「2021年4月15日に発表されたCodecovの改ざん攻撃に対応して、MozillaのセキュリティチームはCodecovの指導に従って認証情報とトークンの再生成を行いました。ただ侵害の証拠は検出されず、Mozillaの製品やサービスへの影響はないと考えています」とコメントしています。

2021年5月初旬にCodecov社は影響を受けた顧客への追加通知を開始し、今回のサプライチェーン攻撃に関連した攻撃者のIPアドレスであるIndicators of Compromise (IOC)の詳細なリストを公開しています。

Bash Uploader Security Updatehttps://about.codecov.io/security-update/

Codecov社のユーザーは自社のCI/CD環境やネットワークに危険な兆候がないかどうかを確認し、安全策として漏洩した可能性のあるすべての機密情報を消去する必要があります。

コメントを残す

メールアドレスが公開されることはありません。