GentooのGitHubアカウントに対する不正アクセス、パスワードが推測しやすかったことが原因 13
ストーリー by headless
推測 部門より
推測 部門より
6月28日に発生したGentoo GitHub Organization(組織アカウント)への不正アクセスについて、Gentooが原因や対策をまとめている(Gentoo Wikiの記事、
The Registerの記事、
Neowinの記事)。
原因は攻撃者が組織アカウント管理者のパスワードを入手したことだ。Gentooが収集した証拠によると、あるサイトで公表されたパスワードスキームにより、無関係なWebページのパスワードを容易に推測できるようになっていたとみられるとのこと。
管理者アカウントの制御を取得した攻撃者はGentooの開発者から組織アカウントへのアクセス権限をすべて削除し、リポジトリに不正なコミットを行う。攻撃者はリポジトリに「rm -rf」を追加してユーザーのコンテンツを消去しようとしているが、このコードが実際に実行されることはないとみられる。
GentooではGitHubをミラーとしてのみ使用していたので大きな影響はなかったが、5日にわたってGitHubが使用できなくなり、特に多くの貢献者がプルリクエストを送るのにGitHubを使用しているProxy Maintainersプロジェクトが影響を受けたという。
ただし、攻撃者が開発者のアクセス権限をすべて削除したことから早期に攻撃が発覚し、Gentoo・GitHubともに迅速な対応を行うことができたそうだ。一方、当初の発表ではユーザーが入手したコピーが安全かどうかを確認する方法や、悪意あるコミットが実行されることはないことが明確にされていなかった点などが問題点とされている。
対策としては2要素認証の導入や、GitHubのオーナー権限を持つ人の数を減らすこと、活動していない人をGentooインフラから積極的に退役させること、明確なパスワードポリシーの制定、アカウント監査の強化などを挙げている。
原因は攻撃者が組織アカウント管理者のパスワードを入手したことだ。Gentooが収集した証拠によると、あるサイトで公表されたパスワードスキームにより、無関係なWebページのパスワードを容易に推測できるようになっていたとみられるとのこと。
管理者アカウントの制御を取得した攻撃者はGentooの開発者から組織アカウントへのアクセス権限をすべて削除し、リポジトリに不正なコミットを行う。攻撃者はリポジトリに「rm -rf」を追加してユーザーのコンテンツを消去しようとしているが、このコードが実際に実行されることはないとみられる。
GentooではGitHubをミラーとしてのみ使用していたので大きな影響はなかったが、5日にわたってGitHubが使用できなくなり、特に多くの貢献者がプルリクエストを送るのにGitHubを使用しているProxy Maintainersプロジェクトが影響を受けたという。
ただし、攻撃者が開発者のアクセス権限をすべて削除したことから早期に攻撃が発覚し、Gentoo・GitHubともに迅速な対応を行うことができたそうだ。一方、当初の発表ではユーザーが入手したコピーが安全かどうかを確認する方法や、悪意あるコミットが実行されることはないことが明確にされていなかった点などが問題点とされている。
対策としては2要素認証の導入や、GitHubのオーナー権限を持つ人の数を減らすこと、活動していない人をGentooインフラから積極的に退役させること、明確なパスワードポリシーの制定、アカウント監査の強化などを挙げている。
犯人のプロファイリング (スコア:0)
・パスワード類推で侵入
・アクセス権限をすべて削除
・リポジトリに「rm -rf」を追加
技術レベルが低くてやっていることがいたずら程度だから、高校生か大学生。つまり10~20代というところかな。
Re:犯人のプロファイリング (スコア:1)
・GitLab関係者
Re: (スコア:0)
言葉に出さないだけでみんな思ってる
Re: (スコア:0)
内部の人間が注意喚起の為にやった線は?
弊社も営業の方達が何回言ってもゆっるーいパスワード設定し続けて怖くて仕方ない。
「パスワードスキーム」とは? (スコア:0)
無知を承知で聞くのだけど
「パスワードスキーム」とは何?
Re: (スコア:0)
パスワードは8文字で、アルファベット、数字、記号をそれぞれ最低1文字は必ず含めること。使える記号はこれとこれ。
みたいなルール。
Re: (スコア:0)
sを5,aを@にして5r@d.jpにするとかそういうのじゃない?
Re:「パスワードスキーム」とは? (スコア:3, 参考になる)
だと思うんですけど、いちおう元記事を見てみると
a password scheme where disclosure on one site made it easy to guess passwords for unrelated webpages.
ということなので、解析するなら
a password scheme ( disclosure on one site made (to guess passwords for unrelated webpages) easy )
あるパスワードスキーム (あるサイトにおける公表が、無関係なWebページのパスワードを推測することを容易にした)
ですから、
あるサイトで公表されたパスワードスキームにより、無関係なWebページのパスワードを容易に推測できるようになっていた
というよりは
あるサイトで(パスワードが)公表されると無関係なWebページのパスワードを容易に推測できるようなパスワードスキーム
と考えられます。
ですから、password1234-srad5678 がバレたら password1234-gentoo5678 もバレるぜ、ということなのかなーと思います。
Re:「パスワードスキーム」とは? (スコア:1)
説明が分かりにくい!
Re: (スコア:0)
もうちょっと勉強はしておきましょう
Re: (スコア:0)
Yahooのログインパスワードを"Yahoo"にしてるやつがいたので「こいつひょっとしてAmazonのパスワードは"Amazon"じゃね?」→ビンゴ!
Re: (スコア:0)
サイトごとに異なるパスワードを使えば、流出しても大丈夫!
だけど、サーバー/サービス/ Web サイトごとに別のパスワードを使うのは覚えきれないよ...
じゃ一定の規則(スキーム)でパスワードを「作ろう」
一番簡単なのは、メインパスワード "password1234" に対し
srad なら "password1234-srad"
google なら "passeord1234-google"
確かに、対象ごとに「異なる」パスワードになったけど....
これじゃ容易に「類推」できちゃうよね。
GitHub のパスワードは、おそらく... "password1234-github" かな.... あたり!!
ってオチだったのでしょう
Re: (スコア:0)
パスワードが好きな人たちのこと。ちなみにパスワード嫌いな人はパスワードキライーム