脅威アクターがGitHubを不正な目的で悪用するケースが増加 | Codebook|Security News
Codebook|Security News > Articles > Analyst's Choice > 脅威アクターがGitHubを不正な目的で悪用するケースが増加

Analyst's Choice

Cyber Intelligence

GitHub

Intelligence

脅威アクターがGitHubを不正な目的で悪用するケースが増加

Rory

Rory

2024.02.07

「Analyst’s Choice」では、弊社インテリジェンスアナリストが先月報じられたニュースの中から注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションをコメントしています。

今月の3つ目のトピックは「脅威アクターがGitHubを不正な目的で悪用するケースが増加」です。これについて、影響範囲、アナリストの見解、緩和のための戦略を紹介していきます。

今月の「Analyst’s Choice」、その他の記事はこちら:

脅威アクターがGitHubを不正な目的で悪用するケースが増加

  • 脅威アクターが、悪意あるペイロードのホストおよび配布、デッドドロップリゾルバやコマンドアンドコントロール、およびデータ窃取ポイントとしての利用といった目的でGitHubを使用するケースが増えています。これは「living-off-trusted-sites(LOTS)」と呼ばれる手法であり、「living-off-the-land」(LotL)から派生したものです。脅威アクターたちは多くの場合、不正な活動を隠したり、検出を回避したりする目的でLOTSを採用します。GitHubサービスを悪意あるインフラに用いることで、攻撃者たちは正規のネットワークトラフィックに紛れ込むことができるようになります。またこれにより、旧式のセキュリティ防御策がバイパスされたり、上流インフラの追跡やアクターのアトリビューションがより困難になったりすることも多々あります。

 

  • GitHubはペイロードの配布に使われるほか、一部のアクターたちはコマンドアンドコントロール(C2)の隠蔽のために同プラットフォームの諸機能を活用しています。他のインフラスキームに比べると、GitHubが完全なC2実装として利用されるケースは稀である一方で、DrokbkやShellBoxといったマルウェアの事例から明らかなように、デッドドロップリゾルバとしての利用はより広く見られます。

 

  • また、GitHubがデータ抜き取りのために悪用されるケースも滅多に観測されていませんが、これはおそらく、ファイルサイズやストレージの制約があるためだと思われます。ただしこの状況は今後変化する可能性があるとの警告が、本件に関するRecorded Futureのレポートには記されており、その理由として脅威アクターたちが絶えず戦術を変化・適用させていることが挙げられています。

 

情報源:https://thehackernews.com/2024/01/threat-actors-increasingly-abusing.html

アナリストのコメント

影響範囲

GitHubはコードをホストしたり共有したりする目的で広く使われていることから、GitHubを利用するあらゆる組織や個人がこの問題の影響を受けるリスクを有しています。なお、似たような形で悪用されているその他のプラットフォームには、Google DriveやDropbox、GitLabがあります。

緩和戦略

  1. パッケージの真正性を確かめる:パッケージをインストールする前に、公開者名とパッケージのバージョン番号、およびパッケージの依存関係をチェックし、それが正規のパッケージであるかどうかを確認しましょう。
  2. セキュリティ機能付きのパッケージマネージャーを使用する:npmやyarnなどをはじめとする一部のパッケージマネージャーには、タイポスクワッティング対策に役立つセキュリティ機能が備わっています。例えばnpmには、未知の、あるいは検証の済んでいないソースからパッケージをインストールしようとした際にユーザーへ警告を発するような機能があります。
  3. パッケージ検証ツールを使う:「Mend」などのパッケージ検証ツールは、利用者の依存関係に既知の脆弱性が含まれないかをスキャンにより調べ、見つかった場合にはアラートを発してくれます。
  4. パッケージ署名を利用する:パッケージ署名ツールの中には、パッケージが検証済みのソースからしかインストールされないような状態を確保するのに役立つものがあります。

見解 

PyPIやNPMといったパッケージリポジトリで攻撃者が比較的よく採用するのが、タイポスクワッティング戦術です。こうしたリポジトリは、新たなパッケージの作成・公開が容易であることが災いして、タイポスクワッティング攻撃の主要な標的になっています。

PyPIやNPMでのタイポスクワッティングの事例は、近年いくつか報告されています。例えば、カリフォルニア大学バークレー校の研究者グループは2020年、タイポスクワッティングされたPyPIパッケージを1,500件以上発見したと報告しました。また2019年には、1年以上にわたって実施されていたNPMのタイポスクワッティングキャンペーンを、あるセキュリティ研究者が発見しています。

以上のような事例からは、パッケージリポジトリにおけるタイポスクワッティングが今なお懸念を集めており、また今後も懸念材料であり続けるであろうことが伺えます。こうしたリポジトリを利用する開発者や組織にとっては、常に警戒を怠らないようにすることと、タイポスクワッティングから身を守るためのベストプラクティスを実践することが重要です。

Writer

Rory株式会社マキナレコード 脅威インテリジェンス・アナリスト

著者

兵庫県立大学とカーネギーメロン大学で修士号(応用情報科学、情報技術―情報セキュリティ)を取得の後、ITコンサルタントを経て、2019年から現職。セキュリティアナリストとして、大手企業・公的機関向けにサイバー脅威、物理リスクなどに関する実用的レポートを提供。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ