クラウドストレージプロバイダーのDropboxは、プライベートGitHubリポジトリへのフィッシング攻撃の標的となったことを発表しました。GitHubはDropboxに攻撃を迅速に通知し、顧客データやパスワードへの影響はありませんでした。
データ侵害は10月13日に発生し、Dropboxは翌日に異変に気付きました。攻撃者は、GitHubの認証情報でログインできるCircleCI統合・配信プラットフォームを偽装し、Dropboxの従業員に本物そっくりのフィッシングメールを大量に送信しました。その多くはDropboxの社内システムによってブロックされましたが、一部はブロックを突破しました。少なくとも1人の従業員が偽のCircleCIログインページにアクセスし、GitHubの認証情報を入力し、ハードウェア認証キーを使ってワンタイムパスワードを悪意のあるサイトに渡すには十分な数のメールが届いたようです。
これにより、攻撃者はDropboxのプライベートGitHubエリアに侵入し、そこから130個のコードリポジトリをコピーしました。Dropboxの声明によると、アクセスされたデータには「Dropbox開発者が使用する認証情報(主にAPIキー)が含まれています。また、Dropboxの従業員、現在および過去の顧客、セールスリード、ベンダーの数千人の名前とメールアドレスも含まれていました」。さらに、「これらのリポジトリには、Dropbox用に若干修正されたサードパーティ製ライブラリのコピー、社内プロトタイプ、セキュリティチームが使用するツールや設定ファイルが含まれていました。重要なのは、これらのリポジトリにはDropboxのコアアプリやインフラストラクチャのコードは含まれていなかったことです。これらのリポジトリへのアクセスはさらに制限され、厳格に管理されています」と述べています。
9月にGitHubは、CircleCIを標的とした攻撃についてブログ記事でユーザーに警告し、「脅威の攻撃者がGitHubユーザーアカウントの認証情報を盗み出すことに成功した場合、ユーザーがパスワードを変更した場合でもアクセスを維持するために、GitHub個人アクセストークン(PAT)をすぐに作成し、OAuthアプリケーションを承認したり、アカウントにSSHキーを追加したりする可能性がある」と指摘しました。
Dropboxは侵入を察知したその日に攻撃者のアクセスを遮断することができ、顧客へのリスクは最小限であると考えています。同社はまた、多要素認証方式をWebAuthnにアップグレードしています。これは、攻撃発生時に既に実施されていた変更です。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
イアン・エヴェンデンは、英国を拠点とするTom's Hardware USのニュースライターです。彼はどんなテーマでも執筆しますが、特にRaspberry PiとDIYロボットに関する記事が彼の目に留まることが多いようです。
