“GitHubの漏えい”はひとごとじゃない なぜ「マシンID保護」が重要なのか？：GitHubデータ流出の全貌【後編】

GitHubは、同社のリポジトリに不正アクセスがあったことを公表した。この問題から浮かび上がるのが、「マシンID管理」の重要性だ。なぜ重要なのかを、専門家の見解に沿って解説する。

[Alex Scroxton，TechTarget]

　ソースコード共有サービス「GitHub」を運営するGitHub社は2023年1月30日（現地時間）、同社のリポジトリ（保管場所）が漏えいした可能性があるとして緊急の警告を発した。

　「今回の漏えいはマシンID（コンピュータを特定する識別子）管理の重要性を示すものだ」。マシンID管理ベンダーVenafiでセキュリティ戦略および脅威インテリジェンス担当バイスプレジデントを務めるケビン・ボセック氏は、そう強調する。これはGitHubの利用に限った話ではない。

「マシンID保護」の重要性が浮上

併せて読みたいお薦め記事

連載：GitHubデータ流出の全貌

• 前編：「GitHub」への不正アクセスで緊急警告　何が狙われたのか？
• 中編：GitHubの「デジタル証明書」“流出問題”を放置してはいけない理由

攻撃者が目を付ける「デジタル署名」

• 国家絡みのサイバー攻撃に狙われたら「あの情報」に要注意
• Microsoft署名の脆弱性を悪用　「Zloader」の驚くほどシンプルな手口とは

　漏えいしたのは、デジタル証明書の認証局を運営するDigiCertが発行する「コードサイニング証明書」2点と、Appleの「Developer ID証明書」1点だ。コードサイニング証明書は、ソースコードに付随する署名が信頼できることを証明し、Developer ID証明書は、ベンダーがAppleからアプリケーションを公認してもらうために用いる。

　攻撃者はデジタル証明書を悪用し、悪意のあるコンテンツにGitHubの公式との認証情報を署名し、配布できる。「デジタル証明書は、他のソフトウェア開発者に対するサプライチェーン攻撃や、その他の未知の攻撃を可能にする強力な武器となる」とボセック氏は警告する。

　ボセック氏は、マシンID管理の重要性を訴える。「コードサイニング証明書にひも付いたマシンIDを常に監視し、制御可能な状態に保つことは難しい」と同氏は言い、漏えいしたマシンIDを迅速に見つけて再発行することは「手動ではほぼ不可能だ」と続ける。

　セキュリティチームは、今回のような攻撃からマシンIDを保護するために、マシンID管理を自動化するコントロールプレーン（制御機能）を導入する必要がある。

　自動管理ツールを活用することで、セキュリティチームはマシンIDを攻撃から保護し、マシンIDの定期的な変更や失効を手動で実施せずに済む。これにより、開発チームの生産性低下や攻撃者による侵害を防ぐことが可能だ。

　証明書管理ベンダーSectigoのシニアバイスプレジデントを務めるジェイソン・ソロコ氏は、「失効したものを含め、デジタル証明書のライフサイクル管理（CLM）を自動化することが重要だ」と話す。企業の経営陣には、「デジタル証明書を適切に管理する」という視点がしばしば欠けている。デジタル証明書を手動で管理、設定している場合、ヒューマンエラーにより、ビジネスの停止やサイバー攻撃に対する脆弱（ぜいじゃく）性の露呈を招いてしまう可能性がある。

　「CLM管理システムは、デジタル証明書を更新もしくは無効化して、自社の収益を確保し、評判を守る助けになる」（ソロコ氏）

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。