パスワードを忘れた? アカウント作成
13641343 story
スラッシュバック

GentooのGitHubアカウントに対する不正アクセス、パスワードが推測しやすかったことが原因 13

ストーリー by headless
推測 部門より
6月28日に発生したGentoo GitHub Organization(組織アカウント)への不正アクセスについて、Gentooが原因や対策をまとめている(Gentoo Wikiの記事The Registerの記事Neowinの記事)。

原因は攻撃者が組織アカウント管理者のパスワードを入手したことだ。Gentooが収集した証拠によると、あるサイトで公表されたパスワードスキームにより、無関係なWebページのパスワードを容易に推測できるようになっていたとみられるとのこと。

管理者アカウントの制御を取得した攻撃者はGentooの開発者から組織アカウントへのアクセス権限をすべて削除し、リポジトリに不正なコミットを行う。攻撃者はリポジトリに「rm -rf」を追加してユーザーのコンテンツを消去しようとしているが、このコードが実際に実行されることはないとみられる。

GentooではGitHubをミラーとしてのみ使用していたので大きな影響はなかったが、5日にわたってGitHubが使用できなくなり、特に多くの貢献者がプルリクエストを送るのにGitHubを使用しているProxy Maintainersプロジェクトが影響を受けたという。

ただし、攻撃者が開発者のアクセス権限をすべて削除したことから早期に攻撃が発覚し、Gentoo・GitHubともに迅速な対応を行うことができたそうだ。一方、当初の発表ではユーザーが入手したコピーが安全かどうかを確認する方法や、悪意あるコミットが実行されることはないことが明確にされていなかった点などが問題点とされている。

対策としては2要素認証の導入や、GitHubのオーナー権限を持つ人の数を減らすこと、活動していない人をGentooインフラから積極的に退役させること、明確なパスワードポリシーの制定、アカウント監査の強化などを挙げている。
  • by Anonymous Coward on 2018年07月08日 14時34分 (#3439301)

    ・パスワード類推で侵入
    ・アクセス権限をすべて削除
    ・リポジトリに「rm -rf」を追加

    技術レベルが低くてやっていることがいたずら程度だから、高校生か大学生。つまり10~20代というところかな。

    ここに返信
  • by Anonymous Coward on 2018年07月08日 14時56分 (#3439310)

    無知を承知で聞くのだけど
    「パスワードスキーム」とは何?

    ここに返信
    • by Anonymous Coward

      パスワードは8文字で、アルファベット、数字、記号をそれぞれ最低1文字は必ず含めること。使える記号はこれとこれ。
      みたいなルール。

    • by Anonymous Coward

      sを5,aを@にして5r@d.jpにするとかそういうのじゃない?

      • by osdn (47242) on 2018年07月08日 21時53分 (#3439486)

        だと思うんですけど、いちおう元記事を見てみると

        a password scheme where disclosure on one site made it easy to guess passwords for unrelated webpages.

        ということなので、解析するなら

        a password scheme ( disclosure on one site made (to guess passwords for unrelated webpages) easy )

        あるパスワードスキーム (あるサイトにおける公表が、無関係なWebページのパスワードを推測することを容易にした)

        ですから、

        あるサイトで公表されたパスワードスキームにより、無関係なWebページのパスワードを容易に推測できるようになっていた

        というよりは

        あるサイトで(パスワードが)公表されると無関係なWebページのパスワードを容易に推測できるようなパスワードスキーム

        と考えられます。

        ですから、password1234-srad5678 がバレたら password1234-gentoo5678 もバレるぜ、ということなのかなーと思います。

        • by Anonymous Coward on 2018年07月08日 22時31分 (#3439496)

          説明が分かりにくい!

          • by Anonymous Coward

            もうちょっと勉強はしておきましょう

          • by Anonymous Coward

            Yahooのログインパスワードを"Yahoo"にしてるやつがいたので「こいつひょっとしてAmazonのパスワードは"Amazon"じゃね?」→ビンゴ!

          • by Anonymous Coward

            サイトごとに異なるパスワードを使えば、流出しても大丈夫!
            だけど、サーバー/サービス/ Web サイトごとに別のパスワードを使うのは覚えきれないよ...
            じゃ一定の規則(スキーム)でパスワードを「作ろう」

            一番簡単なのは、メインパスワード "password1234" に対し
            srad なら "password1234-srad"
            google なら "passeord1234-google"

            確かに、対象ごとに「異なる」パスワードになったけど....
            これじゃ容易に「類推」できちゃうよね。

            GitHub のパスワードは、おそらく... "password1234-github" かな.... あたり!!
            ってオチだったのでしょう

    • by Anonymous Coward

      パスワードが好きな人たちのこと。ちなみにパスワード嫌いな人はパスワードキライーム

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...