“GitHubの漏えい”はひとごとじゃない なぜ「マシンID保護」が重要なのか?GitHubデータ流出の全貌【後編】

GitHubは、同社のリポジトリに不正アクセスがあったことを公表した。この問題から浮かび上がるのが、「マシンID管理」の重要性だ。なぜ重要なのかを、専門家の見解に沿って解説する。

2023年04月13日 05時00分 公開
[Alex ScroxtonTechTarget]

 ソースコード共有サービス「GitHub」を運営するGitHub社は2023年1月30日(現地時間)、同社のリポジトリ(保管場所)が漏えいした可能性があるとして緊急の警告を発した。

 「今回の漏えいはマシンID(コンピュータを特定する識別子)管理の重要性を示すものだ」。マシンID管理ベンダーVenafiでセキュリティ戦略および脅威インテリジェンス担当バイスプレジデントを務めるケビン・ボセック氏は、そう強調する。これはGitHubの利用に限った話ではない。

「マシンID保護」の重要性が浮上

 漏えいしたのは、デジタル証明書の認証局を運営するDigiCertが発行する「コードサイニング証明書」2点と、Appleの「Developer ID証明書」1点だ。コードサイニング証明書は、ソースコードに付随する署名が信頼できることを証明し、Developer ID証明書は、ベンダーがAppleからアプリケーションを公認してもらうために用いる。

 攻撃者はデジタル証明書を悪用し、悪意のあるコンテンツにGitHubの公式との認証情報を署名し、配布できる。「デジタル証明書は、他のソフトウェア開発者に対するサプライチェーン攻撃や、その他の未知の攻撃を可能にする強力な武器となる」とボセック氏は警告する。

 ボセック氏は、マシンID管理の重要性を訴える。「コードサイニング証明書にひも付いたマシンIDを常に監視し、制御可能な状態に保つことは難しい」と同氏は言い、漏えいしたマシンIDを迅速に見つけて再発行することは「手動ではほぼ不可能だ」と続ける。

 セキュリティチームは、今回のような攻撃からマシンIDを保護するために、マシンID管理を自動化するコントロールプレーン(制御機能)を導入する必要がある。

 自動管理ツールを活用することで、セキュリティチームはマシンIDを攻撃から保護し、マシンIDの定期的な変更や失効を手動で実施せずに済む。これにより、開発チームの生産性低下や攻撃者による侵害を防ぐことが可能だ。

 証明書管理ベンダーSectigoのシニアバイスプレジデントを務めるジェイソン・ソロコ氏は、「失効したものを含め、デジタル証明書のライフサイクル管理(CLM)を自動化することが重要だ」と話す。企業の経営陣には、「デジタル証明書を適切に管理する」という視点がしばしば欠けている。デジタル証明書を手動で管理、設定している場合、ヒューマンエラーにより、ビジネスの停止やサイバー攻撃に対する脆弱(ぜいじゃく)性の露呈を招いてしまう可能性がある。

 「CLM管理システムは、デジタル証明書を更新もしくは無効化して、自社の収益を確保し、評判を守る助けになる」(ソロコ氏)

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news006.jpg

「TikTok禁止」は結局、誰得? どうするトランプ氏――2025年のSNS大予測(TikTok編)
米国での存続を巡る議論が続く一方で、アプリ内ショッピングやAI機能の拡大など、TikTok...

news202.jpg

ネットの口コミを参考に8割超が商品を購入 最も参考にした口コミの掲載先は?
ホットリンクは、口コミ投稿の経験や購買への影響を調査した結果を発表した。

news071.jpg

「生成AIの普及でSEOはオワコン」説は本当か?
生成AIの普及によりSEOが「オワコン」化するという言説を頻繁に耳にするようになりました...