米政府機関や企業のソースコードリポジトリーにハッカーがアクセス--FBIが警告

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部

2020-11-09 10:23

 米連邦捜査局(FBI)が発出したセキュリティアラートによると、誤った設定で運用されている「SonarQube」アプリケーションを脅威アクターらが悪用し、米政府機関や私企業のソースコードリポジトリーにアクセスして、コードを窃盗しているという。

FBI

 FBIはアラートの中で、こうした侵入行為は少なくとも2020年4月から発生していると指摘した。アラートは10月に送られ、先週ウェブサイトで公開された。

 このアラートは、SonarQubeを使用している企業に対して注意を喚起するものとなっている。SonarQubeは、ソフトウェアのビルドチェーンに統合することで、コードやアプリケーションを本番環境に配備する前にソースコードをテストし、セキュリティ脆弱性を発見できるようにする、ウェブベースのアプリケーションだ。

 SonarQubeアプリは、ウェブサーバーにインストールされ、「Bitbucket」「GitHub」「GitLab」アカウントなどのコードホスティングシステム、あるいは「Azure DevOps」システムに接続される。

 FBIによると、一部の企業はこのシステムを保護されていない状態、すなわちデフォルトの接続設定(ポート9000)かつデフォルトの管理者資格設定(admin/admin)で運用しているという。

 脅威アクターらはこれらのデフォルト設定を悪用し、SonarQubeのインスタンスにアクセスしてソースコードリポジトリーに接続した後、プロプライエタリーなコードなどに対するアクセスと窃盗を働いているという。

 FBIのアラートは、ソフトウェア開発者やセキュリティ研究者があまり把握していない問題に触れているようだ。

 サイバーセキュリティ業界は「MongoDB」や「Elasticsearch」データベースがパスワードなしでオンラインに公開されたままとなっていることの危険性についてたびたび警告してきたが、SonarQubeは見過ごされていたかもしれない。

 それでも、一部のセキュリティ研究者は2018年5月頃より、SonarQubeアプリケーションがデフォルトの認証情報でオンラインに公開された状態となっていることの危険性について警告してきた。

 FBIのアラートには、SonarQubeアプリのデフォルトの設定と資格情報を変更する、ファイアウォールを使用し、権限のないユーザーのアプリへのアクセスを防ぐといった、SonarQubeサーバーを保護するために企業が採り得る一連の手順が記載されている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]