-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
米CISA、Shai-Huludワームを用いたnpmサプライチェーン攻撃について注意喚起
米CISAは9月23日、世界最大のJavaScriptレジストリであるnpmjs.comを狙った広範なソフトウェアサプライチェーン侵害に関するアラートをリリース。この攻撃により500件を超えるnpmパッケージが自己複製性能を持つワーム「Shai-Hulud」に感染しているとして、推奨される検知・緩和策を共有した。
関連記事:
この攻撃は、Shai-Huludワームに侵害されたnpmパッケージでソフトウェア開発者などを狙うもの。これをインストールした開発者は、GitHubのアクセストークンのほか、AWS、Google Cloud Platform、Microsoft AzureなどのクラウドサービスのAPIキーといった認証情報を盗み取られることになる。Shai-Huludはこれらの情報を攻撃者が制御するエンドポイントへ抽出したのち、「GitHub/user/repos」APIを通じて「Shai-Hulud」と名付けられた公開リポジトリへアップロード。その後、感染した開発者の認証情報でnpmレジストリの認証をパスし、当該開発者のその他のパッケージにも悪性コードを注入してから、これらのパッケージをレジストリへ再公開する。上記のプロセスは自動化されているため、Shai-Huludの感染は連鎖的かつ急速に広がることになる。
CISAの推奨策
CISAはこの侵害を検出・緩和するため、以下の推奨策を適用するよう組織に呼びかけている。
- npmパッケージエコシステムを利用する全ソフトウェアの依存関係レビューを実施する。
- package-lock.jsonまたはyarn.lockファイルを確認し、依存関係ツリー内にネストされたものも含め、影響を受けるパッケージを特定する。
- アーティファクトリポジトリおよび依存関係管理ツール内で、影響を受ける依存関係のキャッシュ済みバージョンを検索する。
- npmパッケージの依存関係バージョンを、2025年9月16日より前に生成された既知の安全なリリースに固定する。
- すべての開発者認証情報を直ちにローテーションする。
- 特にGitHubやnpmなどの重要プラットフォームにおいて、フィッシング耐性を備えた多要素認証(MFA)の設定を全開発者アカウントに義務付ける。
- 異常なネットワーク動作がみられないかモニタリングする。
- webhook.siteドメインへのアウトバウンド接続をブロックする。
- 不審なドメインへの接続がみられないかファイアウォールログをモニタリングする。
- 不要なGitHub AppsおよびOAuthアプリケーションを削除し、リポジトリのWebhookとシークレットを監査することでGitHubのセキュリティを強化する。
- ブランチ保護ルール、GitHubシークレットスキャンアラート、Dependabotのセキュリティアップデートを有効化する。
GitHubはnpmのセキュリティを強化へ
Shai-huludの複製はGitHub社によって食い止められ、同マルウェアのIoCを含む新たなパッケージのアップロードはブロックされている一方で、同社はソフトウェアサプライチェーン攻撃が相次いでいることを受け、npmへのパッケージ公開に関するセキュリティを強化するための以下のような取り組みを進めているという。
- ローカルパッケージ公開時の2FA:GitHubはローカルパッケージの公開時に2FA(二要素認証)をバイパスできるオプションの廃止を計画しており、時間ベースのワンタイムパスワード(TOTP)による2FAを非推奨とする予定。代わりに、FIDOベースの2FAがユーザーに適用されることになる。
- Trusted Publishingのより広範な採用:Trusted Publishing(信頼された公開)とは、パッケージリポジトリに特定のワークフローやサービスを信頼させ、長寿命のAPIキーではなく短寿命のOpenID Connect IDトークンを使用してコードを公開できるようにする仕組み。これにより、盗まれた認証情報が悪意のあるパッケージの拡散に悪用されるリスクが低減される。現在はGitHub ActionsおよびGitLab Pipelinesのみがサポートされているが、GitHubはTrusted Publishingの対象となるCI/CDプロバイダーのリストを拡大する予定。
- Granular tokenの有効期間短縮:公開権限を持つGranular tokenの最大有効期間が7日間となり、従来のClassic tokenは廃止される予定。公開アクセスではデフォルトでトークンが許可されなくなる。
【開催決定!】日本最大級サイバー(脅威)インテリジェンスイベント
サイバーインテリジェンスイベント「Cyber Intelligence Summit 2025」を11月に開催します!
サイバー脅威インテリジェンスとセキュリティ戦略についての国際セキュリティカンファレンス「Cyber Intelligence Summit 2025」を2025年11月5日〜7日、ベルサール虎ノ門にて開催します。
3大メガバンクスペシャル対談に加え、JC3、公安調査庁、楽天、リクルート、パナソニックなどからスペシャリストが登壇!海外からもアナリストや専門家が多数登壇予定です!
開催概要
名 称:Cyber Intelligence Summit 2025
日 程:2025年11月5日(水)、6日(木)、7日(金)
会 場:ベルサール虎ノ門(オンライン配信無し)
主 催:株式会社マキナレコード
料 金:フルパス ¥10,000|展示パス 無料
翻 訳:英日同時通訳付き
登 録:特設サイトより事前登録
Day,01&02 一般企業中心(官公庁の方も歓迎)
民間企業においてサイバー脅威インテリジェンスに携わる部門のご担当者(情報セキュリティ部門、リスク管理、経営企画、IT・CISO室など)、またはその関連分野に関心をお持ちの方。官公庁・自治体のサイバー対策・情報分析部門にご所属の方もご参加いただけます。
Day,03 官公庁限定(主に法執行機関)
国内の官公庁、自治体、法執行機関(警察庁・都道府県警察、防衛省関連機関等)において、サイバー対策、情報保全、脅威インテリジェンス業務に携わる職員の方。
※Day3は官公庁、自治体、法執行機関所属の方に限りご参加いただけます。
※個人名義や企業所属でのご登録はできません。
とは?.jpg)
