Secure Code Warrior は、セキュリティや開発者コミュニティに対して、安全なコードの書き方や、安全でないコードによってもたらされる脆弱性のリスクの軽減に関する教育を支援することに深くコミットしています。この目標の一環として、私たちは、Uberの最近のセキュリティインシデントという 発展途上のストーリーを、開発者主導のセキュリティと左遷の重要性を議論する機会として活用する予定です。

Uberのセキュリティ事故について

Uberは、9月16日にサイバーセキュリティ事件に関する声明を発表し、現在も更新を続けています。読者は、これが現在進行中の話であることを心に留めておく必要があります。これまでのUberの発表や、セキュリティコミュニティでの評判の良い投稿を通じて分かったことをまとめてみよう。 

このハッカーは、Uberの従業員のWhat'sAppの番号を見つけ、ソーシャルエンジニアリングを行うことから始めました。攻撃者は従業員に連絡を取り、無防備な従業員に偽のUberサイトにログインさせ、ユーザー名とパスワードを取得することで認証情報のフィッシングを開始しました。 

Uberのアカウントは多要素認証（MFA）で保護されています。つまり、ユーザーはパスワードを提出する以外に、本人であることを確認するための第2の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。 

認証情報を入手した後、攻撃者はUberの純正サイトへのログインを継続的に試み、従業員のデバイスに多数のプッシュ通知を流して圧倒し、MFA疲労攻撃を開始しました。再び、攻撃者はWhatsApp経由で被害者に連絡しました。今回はITサポートのふりをし、承諾するよう説得することに成功したとされています。

ハードコードされたクレデンシャル

Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、PowerShellスクリプトを含むネットワーク共有を発見しました。これらのスクリプトの1つには、管理者ユーザーのハードコードされた認証情報が含まれており、AWS、G-Suite、コードリポジトリなど、Uberの内部サービスの侵害につながったのです。また、ハッカーはUberのHackerOneアカウントにアクセスすることができました。ただし、Uberによると、"攻撃者がアクセスできたバグレポートはすべて改善された "という。

この脆弱性がコードでどのように見えるか興味がありますか？PowerShellのチャレンジを無料でお試しください。

このような攻撃はどの程度あるのでしょうか？

ソーシャルエンジニアリングは、サイバーセキュリティの最も弱い部分と考えられてきたため、攻撃のベクトルとして防御することが困難です。Uberのハッキング事件は、MFAの実装が簡単に回避されることを明確に示しています。これを防ぐには、フィッシング攻撃の仕組みについて従業員の意識を高めることが重要です。 

しかし、Uberの内部サービスが暴露された原因は、PowerShellスクリプトに含まれていた管理者のユーザー名とパスワードです。認証情報をハードコードすることは、開発者やコードにアクセスできる人なら基本的に誰でも読めるようになるため、決して良いことではありません。 

しかし、繰り返しになりますが、意識が重要なのですセキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書く可能性も低くなります。

ソーシャルエンジニアリングに関する一般的な教育と、より具体的にはプロアクティブなセキュアコーディングのトレーニングという2つのアプローチにより、コードベースの脆弱性の数を減らし、セキュリティ脅威との戦いにおいて重要であることが証明されます。

セキュアコーディングのベストプラクティスの最新情報についてもっと知りたいですか？セキュア・コード・コーチをご覧ください。ここでは、セキュアコーディングのガイドラインを学んだり、トレーニングの練習を無料で試したりすることができます。