2024.10.10
将来は卵1パックの価格が2倍に? 多くの日本人が知らない世界の新潮流、「動物福祉」とは
リンクをコピー
記事をブックマーク
川口:掘り下げたいのですが、これだけで今日のセッションが終わってしまうので、次に行きます。SSOの環境でどう守っていくかはそれぞれの環境と運用もあるのはすごく感じるところです。
(スライドを示して)開発者の人が使っているサービスで代表的なのが、GitHubまわりです。GitとするかGitHubとするかによると思いますが、そこに何か情報が入っているとか、そこのアカウントや権限が取れることからスタートすることはあって、日常的なGitやGitHubを使わざるを得ません。
日常のオペレーションに組み込まれているところにペンテスターが差し込んでくると、けっこう(それが)攻略の糸口になっているケースは多いと思うのですが、ルスランさん、そういうのはどうですか?
ルスラン:そうですね。基本的に我々はゴールがいろいろあって、やり方もいろいろあります。例えば感染済みの端末からスタートするとか、あとはOSINT(Open Source Intelligence)と言われる、外部公開されている情報を探してそこからエントリポイントを探しに行くこともある。どちらにしても、外部の情報を集めていっているので、基本的にはGitから始まります。
会社名を入れたり、いろいろ検索をして何も公開していないというのは、企業の中でそもそも開発者がいない案件ぐらいかもしれません。認証情報はあちこちにどこにでもあるというわけではないのですが、情報収集という意味では、たまにすごく役に立つこともあります。
ルスラン:Gitは何が悪いかはたぶん開発者のみなさんはわかっています。コミットが消されていない状態であれば、攻撃者はもちろん、誰でもコミットの履歴から各コミットを見て、情報を取れることもあります。そのような感じで、過去のある案件で鍵が取れて、外部LDAP(Lightweight Directory Access Protocol)サービスにそのAPIキーで入って、いろいろな内部情報を取れたケースもありました。
川口:ついうっかりコミットしてしまった例はあると思います。
ルスラン:そうですね。
川口:ついうっかり認証情報や漏れたらまずい情報をignoreに入れずに入れて、「もう消したからいいだろう」となったけれど、実は見てみたらコミットログがあるみたいなことですよね。
ルスラン:はい。ありますね。
牧田:消えていないというやつですね。
川口:これは、(情報が)あるよね、見られるよね、探せるよねというところからの、あとになって悲鳴が聞こえるパターンですよね。
牧田:一番びっくりしたのはセキュリティ製品。(製品名は)言わないですけど、ソースコードが公開されたのはおもしろかったですね。
ルスラン:あれはおもしろかったですよね。でもあれは開発者より、たぶん開発者のインターンが会社に入った時に、いろいろなメモの中にDropboxのリンクも入っていて、そのDropboxのリンクに入ると開発中のかなり大きな動画が誰でもダウンロードできる状態で存在していて、かなり大変だったようですね。
川口:Dropboxのリンクは1回作ってしまうと期限がなくなるので、それがどこかで漏れるとフォルダ以下はザクザク見られます。
ルスラン:そうですね。プレミアムみたいな感じにしない限りは、基本的にはアクセス履歴も取れません。
川口:そうですね。無料版を使っていたら取れないですね。
牧田:あとは、会社アカウントではなく、プライベートの個人アカウントでリポジトリを作っちゃって、その会社の情報まで間違ってコミットをしていたのはあって。
OSINTでペンテストをする人たちは、すぐに人を特定できるのがすごいですよね。この人がTwitterをやっていて、TwitterアカウントにGitHubのアカウントがあって、診断をされた会社と個人のリポジトリが紐づいて、そこで鍵が取れてということもあったりするので、プライベートで使う時は、会社と分けて。気を付けないといけないですね。
川口:会社が創業期だったりすると、そのあたりはわりとゆるく管理されていたりします。個人の能力に依存してシステムが開発されていたり、もしくはそうやってやっている中途のできるエンジニアが入ってきたりすると(大変)。境界線が甘い時期にそういうところが使われたりすると厄介ですよね。
会社が大きくなるとそのあたりはきっちり分けて管理をするようになると思うのですが、会社のステージによってはそこまでケアがされていなくて、ペンテストを受けてみたらあらあらと気付くパターンです。でもよかったですよね。ルスランさんやイエラエに頼んだのであれば、まだ口止めできます。「ちょっとこの情報は契約で見なかったことにできますよね」と言えばできますけど、悪い人はそうしてくれませんからね。
ルスラン:そうですね。個人的にはたまにバグバウンティみたいな感じではやっていて、日本の会社の情報も見つけたりするので、知り合いのいる会社であればチラッといろいろ入れていますが、他はちょっと大変ですね(笑)。
川口:そうですね。
牧田:でもおもしろいと思ったのは、自分たちの会社で使うソースコードの中で固有の言葉、被らないような言葉を入れてそれをクローリングしておくことで。これも監視ですよね。誰かが間違ってパブリックにしちゃったりか感染しちゃった時に、関数名かわかりませんが、監視で固有値が引っかかります。すぐに止められるのは対策としては賢いなと思いました。注意力に頼って、「みんな気を付けて」とか、二重三重にチェックするのは、ちょっと限界があります。
川口:そうですね。社員数も増えたりすると、いつかちょろっとやっちゃうのはありますね。
(次回に続く)
2024.11.13
週3日働いて年収2,000万稼ぐ元印刷屋のおじさん 好きなことだけして楽に稼ぐ3つのパターン
2024.11.11
自分の「本質的な才能」が見つかる一番簡単な質問 他者から「すごい」と思われても意外と気づかないのが才能
2024.11.13
“退職者が出た時の会社の対応”を従業員は見ている 離職防止策の前に見つめ直したい、部下との向き合い方
2024.11.12
自分の人生にプラスに働く「イライラ」は才能 自分の強みや才能につながる“良いイライラ”を見分けるポイント
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
2024.11.11
気づいたら借金、倒産して身ぐるみを剥がされる経営者 起業に「立派な動機」を求められる恐ろしさ
2024.11.11
「退職代行」を使われた管理職の本音と葛藤 メディアで話題、利用者が右肩上がり…企業が置かれている現状とは
2024.11.18
20名の会社でGoogleの採用を真似するのはもったいない 人手不足の時代における「脱能力主義」のヒント
2024.11.12
先週まで元気だったのに、突然辞める「びっくり退職」 退職代行サービスの影響も?上司と部下の“すれ違い”が起きる原因
2024.11.14
よってたかってハイリスクのビジネスモデルに仕立て上げるステークホルダー 「社会的理由」が求められる時代の起業戦略