UberやAdobeが使用するMonday.com、Codecov社のサプライチェーン攻撃によってソースコードが流出

news

Monday.comは複数の企業が被害を受けたCodecov社のサプライチェーン攻撃による影響があったと公表しました。

Monday.comはプロジェクトマネージャー、営業担当者、CRM担当者、マーケティングチーム、その他様々な組織部門で利用されているオンラインワークフロー管理プラットフォームです。

このプラットフォームの顧客にはUber、BBC Studios、Adobe、Universal、Hulu、L’Oreal、Coca-Cola、Unileverなどの著名企業が名を連ねています。

先日、人気の高いコードカバレッジツール「Codecov」が2カ月間に及ぶサプライチェーン攻撃の被害に遭いました。

この2ヶ月の間にCodecov社の正規のBash Uploaderツールを改ざんし、Codecov社の顧客のCI/CD環境から環境変数(キー、トークン、認証情報などの機密情報を含む)が流出していました。

Codecov社を攻撃した攻撃者は、改ざんされたBash Uploaderから取得した認証情報を利用して数百もの顧客のネットワークに侵入したと言われています。

Codecov社の攻撃でMonday.comのソースコードにアクセス

Codecov社のユーザであるMonday.com社は、先日Codecov社のサプライチェーン攻撃による影響を受けたことを発表しました。

Monday.comが現在行っている新規株式公開(IPO)のために米国証券取引委員会(SEC)に提出したF-1フォームの中で、同社はCodecov社の侵害の範囲について記述されています。

Monday.com社は、Codecov社からの情報漏えいについて調査した結果、権限のない者が同社のソースコードの読み取り専用コピーにアクセスしたことが判明したとしています。

しかし、現在までのところ攻撃者によってソースコードが改ざんされたという証拠はなく、また、同社の製品が影響を受けたという証拠もないとしています。

さらに「攻撃者は当社のプラットフォーム上でホストされている公開された顧客のフォームやビューを指す特定のURLのリストを含むファイルにアクセスしたため、関連する顧客に連絡しこれらのURLを再生成する方法を伝えました。現時点では、Monday.comのお客様のデータがこの件で影響を受けたという事実はありませんが、同社は引き続き調査を行っています。」と述べています。

Monday.com社は今回のSEC提出書類での開示に先立ち、Codecov社の事件を受けてCodecov社の環境へのアクセスを禁止し、同サービスの使用を完全に中止したと述べています。

Monday.com社のセキュリティチームは、「この問題によってCodecov社へのアクセスを取り消し、Codecov社のサービスの使用を中止。Monday.com社のすべての本番環境と開発環境の鍵を更改し、一流のサイバーセキュリティ・フォレンジック専門家を雇うなど直ちに緩和策を講じました」と述べています。

Monday.com社は、Codecov社からの情報漏洩による多くの被害者の1つです。

Codecov社の攻撃は2ヶ月間発見されませんでしたが攻撃の全容は発見後も解明されていません。

米国のサイバーセキュリティ企業であるRapid7社は、同社のソースコードリポジトリや認証情報の一部がCodecov攻撃者によってアクセスされたことを明らかにしました。

またHashiCorp社は同社のGPG秘密鍵が攻撃で暴露されたと発表していました。

この鍵はソフトウェアリリースの署名と検証に使用されていたため、鍵の更改を行う必要がありました。

また、クラウドコミュニケーションプラットフォームのTwilio、クラウドサービスのConfluent、保険会社のCoalitionもCodecovの攻撃者が自社のプライベートリポジトリにアクセスしたことを報告していました。

Codecov社のプラットフォームはBash Uploaderは何千ものオープンソースプロジェクトで使用されており、SolarWinds社のサプライチェーン攻撃と比較されているため、米国連邦政府の捜査当局がその影響を調査するために乗り出しています。

先日Codecov社は、影響を受けた顧客への追加通知を開始し、このサプライチェーン攻撃に関連する攻撃者のIPアドレスなど侵害の兆候(IOC)の詳細なリストを公開しています。

Codecov社のユーザーは、自社のCI/CD環境やネットワークに侵害の兆候がないかどうかを確認し、安全策として漏洩した可能性のあるすべての機密情報を消去する必要があります。

Comments

タイトルとURLをコピーしました