“GitHubの漏えい”はひとごとじゃない なぜ「マシンID保護」が重要なのか?GitHubデータ流出の全貌【後編】

GitHubは、同社のリポジトリに不正アクセスがあったことを公表した。この問題から浮かび上がるのが、「マシンID管理」の重要性だ。なぜ重要なのかを、専門家の見解に沿って解説する。

2023年04月13日 05時00分 公開
[Alex ScroxtonTechTarget]

 ソースコード共有サービス「GitHub」を運営するGitHub社は2023年1月30日(現地時間)、同社のリポジトリ(保管場所)が漏えいした可能性があるとして緊急の警告を発した。

 「今回の漏えいはマシンID(コンピュータを特定する識別子)管理の重要性を示すものだ」。マシンID管理ベンダーVenafiでセキュリティ戦略および脅威インテリジェンス担当バイスプレジデントを務めるケビン・ボセック氏は、そう強調する。これはGitHubの利用に限った話ではない。

「マシンID保護」の重要性が浮上

 漏えいしたのは、デジタル証明書の認証局を運営するDigiCertが発行する「コードサイニング証明書」2点と、Appleの「Developer ID証明書」1点だ。コードサイニング証明書は、ソースコードに付随する署名が信頼できることを証明し、Developer ID証明書は、ベンダーがAppleからアプリケーションを公認してもらうために用いる。

 攻撃者はデジタル証明書を悪用し、悪意のあるコンテンツにGitHubの公式との認証情報を署名し、配布できる。「デジタル証明書は、他のソフトウェア開発者に対するサプライチェーン攻撃や、その他の未知の攻撃を可能にする強力な武器となる」とボセック氏は警告する。

 ボセック氏は、マシンID管理の重要性を訴える。「コードサイニング証明書にひも付いたマシンIDを常に監視し、制御可能な状態に保つことは難しい」と同氏は言い、漏えいしたマシンIDを迅速に見つけて再発行することは「手動ではほぼ不可能だ」と続ける。

 セキュリティチームは、今回のような攻撃からマシンIDを保護するために、マシンID管理を自動化するコントロールプレーン(制御機能)を導入する必要がある。

 自動管理ツールを活用することで、セキュリティチームはマシンIDを攻撃から保護し、マシンIDの定期的な変更や失効を手動で実施せずに済む。これにより、開発チームの生産性低下や攻撃者による侵害を防ぐことが可能だ。

 証明書管理ベンダーSectigoのシニアバイスプレジデントを務めるジェイソン・ソロコ氏は、「失効したものを含め、デジタル証明書のライフサイクル管理(CLM)を自動化することが重要だ」と話す。企業の経営陣には、「デジタル証明書を適切に管理する」という視点がしばしば欠けている。デジタル証明書を手動で管理、設定している場合、ヒューマンエラーにより、ビジネスの停止やサイバー攻撃に対する脆弱(ぜいじゃく)性の露呈を招いてしまう可能性がある。

 「CLM管理システムは、デジタル証明書を更新もしくは無効化して、自社の収益を確保し、評判を守る助けになる」(ソロコ氏)

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news101.jpg

郵送業務を電子化する理由 3位「テレワークへの対応」、2位「業務の迅速化・省力化」で1位は?――リンクス調査
キャンペーンのお知らせや新商品の紹介のダイレクトメールなど、個人宛てに送付する郵便...

news172.png

WACULが「AIアナリストSEO」を大幅刷新 コンテンツ作成×外部対策×内部対策×CVR改善をワンストップで支援
月額30万円でAI技術を活用したコンテンツ制作、約4万サイトの支援データ、熟練コンサルタ...

news150.jpg

SFAツール「Kairos3 Sales」にモバイルアプリ版 訪問営業の生産性向上へ
モバイルアプリ上で、リアルタイムで営業活動の確認・記録が可能になる。