Dropboxのソースコードを「GitHub」で流出させたフィッシング攻撃の手口フィッシング攻撃を受けたDropbox【前編】

オンラインストレージサービスを手掛けるDropboxはフィッシング攻撃を受け、GitHubで管理するソースコードに不正アクセスがあったと発表した。攻撃の手口や影響は。

2022年12月28日 05時00分 公開
[Alex ScroxtonTechTarget]

 2022年11月(米国時間、以下同様)、オンラインストレージサービスを手掛けるDropboxは、同社が受けたフィッシング攻撃についての詳細を公開した。攻撃者の手口は、CI/CD(継続的インテグレーション/継続的デリバリー)ツール「CircleCI」を装ったメールを介したものだった。

Dropboxを狙ったフィッシング攻撃 手口と被害は?

 Dropboxはソースコードの一部をコード共有サービス「GitHub」で管理している。CircleCIにはGitHubのユーザー認証情報でログインができる。攻撃者はメールで受信者が以下の行動を取るよう誘導し、GitHubのユーザー認証情報を入手した。

  • 偽のCircleCIログインページにアクセスする
  • GitHubのユーザー名とパスワードを入力する
  • ハードウェアセキュリティキーを用いたワンタイムパスワードを偽サイトに渡す

 攻撃者は130個のコードリポジトリの窃取に成功した。不正アクセスの対象となったのは、Dropboxの開発者が使用するAPI(アプリケーションプログラミングインタフェース)キーの他、従業員、顧客や見込み客、ベンダーなど数千人の氏名とメールアドレスを含むデータだった。

 以前から同様のフィッシング攻撃について警戒してきたGitHubは、10月14日、不審な動きについてDropboxに警告。同日中に攻撃者は撃退された。その後Dropboxのセキュリティチームは、不正アクセスを受けたデータを特定するために迅速な行動を取った。

 Dropboxの広報担当者は次のように述べ、顧客へのリスクは最小限にとどまったと説明している。「当社のコンテンツやパスワード、支払い情報は攻撃者の不正アクセスを受けていない。より厳重なアクセス制限をしているコアアプリケーションやインフラに攻撃の影響はなかった」

 第三者機関のサイバーフォレンジックの専門家による調査と監視の結果、2022年11月2日時点で、流出したデータが悪用されたという証拠は見つかっていない。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news100.jpg

日本はなぜ「世界の旅行者が再訪したい国・地域」のトップになったのか 5つの視点で理由を解き明かす
電通は独自調査で、日本が「観光目的で再訪したい国・地域」のトップとなった要因を「期...

news023.jpg

誰も見ていないテレビ番組にお金を払って露出する意味はあるのか?
無名のわが社でもお金を出せばテレビに出してもらえる? 今回は、広報担当者を惑わせる...

news182.jpg

中小企業のマーケティングDX 取り組みが進まない理由は?
トライベックの2024年最新版「中小企業DX実態調査」の結果、さまざまな課題が浮き彫りに...