GitHubのユーザーが平文の痛みで身代金を要求される
... 第三者が、あなたのリポジトリにアクセスする権限を持つユーザーのうちの1人の正しいユーザー名とパスワードを使って、あなたのリポジトリにアクセスしました。他のgitホスティングサービスでも同じような攻撃を受けていることから、これらの認証情報は別のサービスを通じて流出した可能性があると考えています。
Webベースのサービスを利用しているユーザーにとって、個人情報漏洩の可能性に関するメールを受け取ることは、決して良い経験ではありません。さて、そのデータが、あなたが一生懸命作ったコードリポジトリ、あるいはあなたのソフトウェアの企業秘密であることを想像してみてください。今週、少なくとも392人(現時点)の GitHub、Bitbucket、GitLabのユーザーが、このような心臓が止まるような通知を受け取りました。しかも、彼らのコードは攻撃者によってダウンロードされ、リポジトリから消去され、身代金を要求されているのです。被害に遭ったユーザーのファイルがすべてなくなると、このメッセージが書かれたテキストファイルが1つだけ残ります。
今回の事件は、ニュースになるような他の多くの企業の情報漏えいとは異なり(GitHubへの過去の攻撃も同様)、GitHubのプラットフォームのバグが原因ではありません。むしろ、アカウント情報が平文で安全に保管されており、サードパーティのリポジトリ管理サービスから流出した可能性が高いのです。開発者は、重要なパスワードを誤って保存したり、同じ認証情報を複数の重要なアカウントで再利用したりしていました。
この記事を書いている時点では、コードを復元するために身代金を支払ったユーザーは一人もおらず、また、セキュリティに関心のある賢い人々が、影響を受けたユーザーが削除されたコードを復元するための回避策をすでに見つけていることから、詐欺師はプログラミング界の優秀な人材ではないと思われます。
つまり、多くの開発者は十分なセキュリティ意識を持っておらず、貴重なデータがいつでも危険にさらされる可能性があるということです。
なぜ、私たちのパスワード管理はまだ不十分なのでしょうか?
人間にはもちろん欠点があり、自分の生活を楽にしたいと思う傾向があります。確かに、同じユーザー名とパスワードを何度も使うのは手間がかかりませんし、初めて飼った子犬の名前を覚えるのも、メールにアクセスするために「Z7b3#!q0HwXxv29!しかし、これだけ大規模なサイバー攻撃が絶え間なく行われているのだから、開発者はもう十分に理解しているはずだ。
この件に関するGitHubのアドバイスは、2ファクタ認証が行われており、安全なパスワードマネージャが使用されていれば、今回の身代金要求の攻撃は起こらなかっただろうと評価するものでした。しかし、私が何度も言っているように、教育はもっと進んでいなければならないのは明らかです。すべての開発者は、ある行動によってアカウントが攻撃を受けやすくなる理由を、基本的なレベルで理解する必要があります。
教育。魔法の薬?
今回のGitHubへの攻撃では、ファイルの設定ミスが原因で、攻撃者は悪意のあるスキマーを注入し、城の鍵を奪うことに成功したようです。
機密データの漏えい」も克服すべき重要な脆弱性であり、OWASPのトップ10では依然として3位にランクインしています。パスワードを平文で保存することは、多くの人がパスワードを平文で保存することの危険性を理解していないことの明確な証拠であり、ブルートフォース・パスワード攻撃によってシステムがいかに簡単に侵害されるかを示しています。
暗号技術(特に暗号保存)を理解することは、鉄壁のセキュリティを用いてコードベースでパスワードを管理する上で不可欠な要素です。保存されているパスワードの塩漬けとハッシュ化に成功し、その一意性を強制することで、今回の身代金請求事件のような事態を引き起こすことがはるかに難しくなります。
開発者への十分な教育を重視し、サイバー脅威のリスクを真摯に受け止めることで、セキュリティに対する私たちの考え方を変える必要があることを理解することが重要です。私たちは、セキュリティについて学ぶことが前向きでやりがいのある経験になるようにしなければなりません。そしてそれは、自分の仕事を自己評価するすべての開発者の基準を全体的に引き上げるための基本になると思います。
ここで紹介されている脆弱性を克服してみませんか?関連する課題をプレイすることができます。 Secure Code Warriorで今すぐプレイできます。
今回のGitHubリポジトリへの攻撃は、セキュリティ業界でよく知られている問題を浮き彫りにしています。多くの開発者はセキュリティに対する意識が低く、貴重なデータがいつでも危険にさらされる可能性があります。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
... 第三者が、あなたのリポジトリにアクセスする権限を持つユーザーのうちの1人の正しいユーザー名とパスワードを使って、あなたのリポジトリにアクセスしました。他のgitホスティングサービスでも同じような攻撃を受けていることから、これらの認証情報は別のサービスを通じて流出した可能性があると考えています。
Webベースのサービスを利用しているユーザーにとって、個人情報漏洩の可能性に関するメールを受け取ることは、決して良い経験ではありません。さて、そのデータが、あなたが一生懸命作ったコードリポジトリ、あるいはあなたのソフトウェアの企業秘密であることを想像してみてください。今週、少なくとも392人(現時点)の GitHub、Bitbucket、GitLabのユーザーが、このような心臓が止まるような通知を受け取りました。しかも、彼らのコードは攻撃者によってダウンロードされ、リポジトリから消去され、身代金を要求されているのです。被害に遭ったユーザーのファイルがすべてなくなると、このメッセージが書かれたテキストファイルが1つだけ残ります。
今回の事件は、ニュースになるような他の多くの企業の情報漏えいとは異なり(GitHubへの過去の攻撃も同様)、GitHubのプラットフォームのバグが原因ではありません。むしろ、アカウント情報が平文で安全に保管されており、サードパーティのリポジトリ管理サービスから流出した可能性が高いのです。開発者は、重要なパスワードを誤って保存したり、同じ認証情報を複数の重要なアカウントで再利用したりしていました。
この記事を書いている時点では、コードを復元するために身代金を支払ったユーザーは一人もおらず、また、セキュリティに関心のある賢い人々が、影響を受けたユーザーが削除されたコードを復元するための回避策をすでに見つけていることから、詐欺師はプログラミング界の優秀な人材ではないと思われます。
つまり、多くの開発者は十分なセキュリティ意識を持っておらず、貴重なデータがいつでも危険にさらされる可能性があるということです。
なぜ、私たちのパスワード管理はまだ不十分なのでしょうか?
人間にはもちろん欠点があり、自分の生活を楽にしたいと思う傾向があります。確かに、同じユーザー名とパスワードを何度も使うのは手間がかかりませんし、初めて飼った子犬の名前を覚えるのも、メールにアクセスするために「Z7b3#!q0HwXxv29!しかし、これだけ大規模なサイバー攻撃が絶え間なく行われているのだから、開発者はもう十分に理解しているはずだ。
この件に関するGitHubのアドバイスは、2ファクタ認証が行われており、安全なパスワードマネージャが使用されていれば、今回の身代金要求の攻撃は起こらなかっただろうと評価するものでした。しかし、私が何度も言っているように、教育はもっと進んでいなければならないのは明らかです。すべての開発者は、ある行動によってアカウントが攻撃を受けやすくなる理由を、基本的なレベルで理解する必要があります。
教育。魔法の薬?
今回のGitHubへの攻撃では、ファイルの設定ミスが原因で、攻撃者は悪意のあるスキマーを注入し、城の鍵を奪うことに成功したようです。
機密データの漏えい」も克服すべき重要な脆弱性であり、OWASPのトップ10では依然として3位にランクインしています。パスワードを平文で保存することは、多くの人がパスワードを平文で保存することの危険性を理解していないことの明確な証拠であり、ブルートフォース・パスワード攻撃によってシステムがいかに簡単に侵害されるかを示しています。
暗号技術(特に暗号保存)を理解することは、鉄壁のセキュリティを用いてコードベースでパスワードを管理する上で不可欠な要素です。保存されているパスワードの塩漬けとハッシュ化に成功し、その一意性を強制することで、今回の身代金請求事件のような事態を引き起こすことがはるかに難しくなります。
開発者への十分な教育を重視し、サイバー脅威のリスクを真摯に受け止めることで、セキュリティに対する私たちの考え方を変える必要があることを理解することが重要です。私たちは、セキュリティについて学ぶことが前向きでやりがいのある経験になるようにしなければなりません。そしてそれは、自分の仕事を自己評価するすべての開発者の基準を全体的に引き上げるための基本になると思います。
ここで紹介されている脆弱性を克服してみませんか?関連する課題をプレイすることができます。 Secure Code Warriorで今すぐプレイできます。
... 第三者が、あなたのリポジトリにアクセスする権限を持つユーザーのうちの1人の正しいユーザー名とパスワードを使って、あなたのリポジトリにアクセスしました。他のgitホスティングサービスでも同じような攻撃を受けていることから、これらの認証情報は別のサービスを通じて流出した可能性があると考えています。
Webベースのサービスを利用しているユーザーにとって、個人情報漏洩の可能性に関するメールを受け取ることは、決して良い経験ではありません。さて、そのデータが、あなたが一生懸命作ったコードリポジトリ、あるいはあなたのソフトウェアの企業秘密であることを想像してみてください。今週、少なくとも392人(現時点)の GitHub、Bitbucket、GitLabのユーザーが、このような心臓が止まるような通知を受け取りました。しかも、彼らのコードは攻撃者によってダウンロードされ、リポジトリから消去され、身代金を要求されているのです。被害に遭ったユーザーのファイルがすべてなくなると、このメッセージが書かれたテキストファイルが1つだけ残ります。
今回の事件は、ニュースになるような他の多くの企業の情報漏えいとは異なり(GitHubへの過去の攻撃も同様)、GitHubのプラットフォームのバグが原因ではありません。むしろ、アカウント情報が平文で安全に保管されており、サードパーティのリポジトリ管理サービスから流出した可能性が高いのです。開発者は、重要なパスワードを誤って保存したり、同じ認証情報を複数の重要なアカウントで再利用したりしていました。
この記事を書いている時点では、コードを復元するために身代金を支払ったユーザーは一人もおらず、また、セキュリティに関心のある賢い人々が、影響を受けたユーザーが削除されたコードを復元するための回避策をすでに見つけていることから、詐欺師はプログラミング界の優秀な人材ではないと思われます。
つまり、多くの開発者は十分なセキュリティ意識を持っておらず、貴重なデータがいつでも危険にさらされる可能性があるということです。
なぜ、私たちのパスワード管理はまだ不十分なのでしょうか?
人間にはもちろん欠点があり、自分の生活を楽にしたいと思う傾向があります。確かに、同じユーザー名とパスワードを何度も使うのは手間がかかりませんし、初めて飼った子犬の名前を覚えるのも、メールにアクセスするために「Z7b3#!q0HwXxv29!しかし、これだけ大規模なサイバー攻撃が絶え間なく行われているのだから、開発者はもう十分に理解しているはずだ。
この件に関するGitHubのアドバイスは、2ファクタ認証が行われており、安全なパスワードマネージャが使用されていれば、今回の身代金要求の攻撃は起こらなかっただろうと評価するものでした。しかし、私が何度も言っているように、教育はもっと進んでいなければならないのは明らかです。すべての開発者は、ある行動によってアカウントが攻撃を受けやすくなる理由を、基本的なレベルで理解する必要があります。
教育。魔法の薬?
今回のGitHubへの攻撃では、ファイルの設定ミスが原因で、攻撃者は悪意のあるスキマーを注入し、城の鍵を奪うことに成功したようです。
機密データの漏えい」も克服すべき重要な脆弱性であり、OWASPのトップ10では依然として3位にランクインしています。パスワードを平文で保存することは、多くの人がパスワードを平文で保存することの危険性を理解していないことの明確な証拠であり、ブルートフォース・パスワード攻撃によってシステムがいかに簡単に侵害されるかを示しています。
暗号技術(特に暗号保存)を理解することは、鉄壁のセキュリティを用いてコードベースでパスワードを管理する上で不可欠な要素です。保存されているパスワードの塩漬けとハッシュ化に成功し、その一意性を強制することで、今回の身代金請求事件のような事態を引き起こすことがはるかに難しくなります。
開発者への十分な教育を重視し、サイバー脅威のリスクを真摯に受け止めることで、セキュリティに対する私たちの考え方を変える必要があることを理解することが重要です。私たちは、セキュリティについて学ぶことが前向きでやりがいのある経験になるようにしなければなりません。そしてそれは、自分の仕事を自己評価するすべての開発者の基準を全体的に引き上げるための基本になると思います。
ここで紹介されている脆弱性を克服してみませんか?関連する課題をプレイすることができます。 Secure Code Warriorで今すぐプレイできます。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
... 第三者が、あなたのリポジトリにアクセスする権限を持つユーザーのうちの1人の正しいユーザー名とパスワードを使って、あなたのリポジトリにアクセスしました。他のgitホスティングサービスでも同じような攻撃を受けていることから、これらの認証情報は別のサービスを通じて流出した可能性があると考えています。
Webベースのサービスを利用しているユーザーにとって、個人情報漏洩の可能性に関するメールを受け取ることは、決して良い経験ではありません。さて、そのデータが、あなたが一生懸命作ったコードリポジトリ、あるいはあなたのソフトウェアの企業秘密であることを想像してみてください。今週、少なくとも392人(現時点)の GitHub、Bitbucket、GitLabのユーザーが、このような心臓が止まるような通知を受け取りました。しかも、彼らのコードは攻撃者によってダウンロードされ、リポジトリから消去され、身代金を要求されているのです。被害に遭ったユーザーのファイルがすべてなくなると、このメッセージが書かれたテキストファイルが1つだけ残ります。
今回の事件は、ニュースになるような他の多くの企業の情報漏えいとは異なり(GitHubへの過去の攻撃も同様)、GitHubのプラットフォームのバグが原因ではありません。むしろ、アカウント情報が平文で安全に保管されており、サードパーティのリポジトリ管理サービスから流出した可能性が高いのです。開発者は、重要なパスワードを誤って保存したり、同じ認証情報を複数の重要なアカウントで再利用したりしていました。
この記事を書いている時点では、コードを復元するために身代金を支払ったユーザーは一人もおらず、また、セキュリティに関心のある賢い人々が、影響を受けたユーザーが削除されたコードを復元するための回避策をすでに見つけていることから、詐欺師はプログラミング界の優秀な人材ではないと思われます。
つまり、多くの開発者は十分なセキュリティ意識を持っておらず、貴重なデータがいつでも危険にさらされる可能性があるということです。
なぜ、私たちのパスワード管理はまだ不十分なのでしょうか?
人間にはもちろん欠点があり、自分の生活を楽にしたいと思う傾向があります。確かに、同じユーザー名とパスワードを何度も使うのは手間がかかりませんし、初めて飼った子犬の名前を覚えるのも、メールにアクセスするために「Z7b3#!q0HwXxv29!しかし、これだけ大規模なサイバー攻撃が絶え間なく行われているのだから、開発者はもう十分に理解しているはずだ。
この件に関するGitHubのアドバイスは、2ファクタ認証が行われており、安全なパスワードマネージャが使用されていれば、今回の身代金要求の攻撃は起こらなかっただろうと評価するものでした。しかし、私が何度も言っているように、教育はもっと進んでいなければならないのは明らかです。すべての開発者は、ある行動によってアカウントが攻撃を受けやすくなる理由を、基本的なレベルで理解する必要があります。
教育。魔法の薬?
今回のGitHubへの攻撃では、ファイルの設定ミスが原因で、攻撃者は悪意のあるスキマーを注入し、城の鍵を奪うことに成功したようです。
機密データの漏えい」も克服すべき重要な脆弱性であり、OWASPのトップ10では依然として3位にランクインしています。パスワードを平文で保存することは、多くの人がパスワードを平文で保存することの危険性を理解していないことの明確な証拠であり、ブルートフォース・パスワード攻撃によってシステムがいかに簡単に侵害されるかを示しています。
暗号技術(特に暗号保存)を理解することは、鉄壁のセキュリティを用いてコードベースでパスワードを管理する上で不可欠な要素です。保存されているパスワードの塩漬けとハッシュ化に成功し、その一意性を強制することで、今回の身代金請求事件のような事態を引き起こすことがはるかに難しくなります。
開発者への十分な教育を重視し、サイバー脅威のリスクを真摯に受け止めることで、セキュリティに対する私たちの考え方を変える必要があることを理解することが重要です。私たちは、セキュリティについて学ぶことが前向きでやりがいのある経験になるようにしなければなりません。そしてそれは、自分の仕事を自己評価するすべての開発者の基準を全体的に引き上げるための基本になると思います。
ここで紹介されている脆弱性を克服してみませんか?関連する課題をプレイすることができます。 Secure Code Warriorで今すぐプレイできます。
始めるためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
.png)
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.