米政府機関や企業のソースコードリポジトリーにハッカーがアクセス--FBIが警告

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部

2020-11-09 10:23

 米連邦捜査局(FBI)が発出したセキュリティアラートによると、誤った設定で運用されている「SonarQube」アプリケーションを脅威アクターらが悪用し、米政府機関や私企業のソースコードリポジトリーにアクセスして、コードを窃盗しているという。

FBI

 FBIはアラートの中で、こうした侵入行為は少なくとも2020年4月から発生していると指摘した。アラートは10月に送られ、先週ウェブサイトで公開された。

 このアラートは、SonarQubeを使用している企業に対して注意を喚起するものとなっている。SonarQubeは、ソフトウェアのビルドチェーンに統合することで、コードやアプリケーションを本番環境に配備する前にソースコードをテストし、セキュリティ脆弱性を発見できるようにする、ウェブベースのアプリケーションだ。

 SonarQubeアプリは、ウェブサーバーにインストールされ、「Bitbucket」「GitHub」「GitLab」アカウントなどのコードホスティングシステム、あるいは「Azure DevOps」システムに接続される。

 FBIによると、一部の企業はこのシステムを保護されていない状態、すなわちデフォルトの接続設定(ポート9000)かつデフォルトの管理者資格設定(admin/admin)で運用しているという。

 脅威アクターらはこれらのデフォルト設定を悪用し、SonarQubeのインスタンスにアクセスしてソースコードリポジトリーに接続した後、プロプライエタリーなコードなどに対するアクセスと窃盗を働いているという。

 FBIのアラートは、ソフトウェア開発者やセキュリティ研究者があまり把握していない問題に触れているようだ。

 サイバーセキュリティ業界は「MongoDB」や「Elasticsearch」データベースがパスワードなしでオンラインに公開されたままとなっていることの危険性についてたびたび警告してきたが、SonarQubeは見過ごされていたかもしれない。

 それでも、一部のセキュリティ研究者は2018年5月頃より、SonarQubeアプリケーションがデフォルトの認証情報でオンラインに公開された状態となっていることの危険性について警告してきた。

 FBIのアラートには、SonarQubeアプリのデフォルトの設定と資格情報を変更する、ファイアウォールを使用し、権限のないユーザーのアプリへのアクセスを防ぐといった、SonarQubeサーバーを保護するために企業が採り得る一連の手順が記載されている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

  4. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

  5. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]