Last Updated on 2024-06-27 09:49 by admin
新しいサイバーセキュリティ研究によると、Amazon Web Services(AWS)、Google Cloudのコマンドラインインターフェース(CLI)ツールは、ビルドログにおいて機密情報を露出する可能性があることが明らかにされた。この脆弱性は、クラウドセキュリティ企業OrcaによってLeakyCLIと名付けられた。Azure CLI、AWS CLI、Google Cloud CLIの一部のコマンドは、環境変数の形で機密情報を露出し、GitHub Actionsなどのツールによって公開された場合、敵対者によって収集される可能性がある。Microsoftは2023年11月にリリースされたセキュリティアップデートの一環としてこの問題に対処し、CVE-2023-36052(CVSSスコア:8.6)というCVE識別子を割り当てた。
Orcaは、GitHub上の複数のプロジェクトが、Github Actions、CircleCI、TravisCI、Cloud Buildのログを通じてアクセストークンやその他の機密データを誤って漏洩していることを発見した。Microsoftとは異なり、AmazonとGoogleはこれを予想される挙動とみなし、環境変数に秘密を保存することを避け、代わりにAWS Secrets ManagerやGoogle Cloud Secret Managerのような専用の秘密ストアサービスを使用することを組織に要求している。Googleはまた、”–no-user-output-enabled”オプションの使用を推奨しており、これによりコマンド出力が標準出力および標準エラーに印刷されることを抑制する。
【ニュース解説】
最近のサイバーセキュリティ研究により、Amazon Web Services(AWS)、Google Cloud、およびAzureのコマンドラインインターフェース(CLI)ツールが、ビルドログにおいて機密情報を露出する可能性があることが明らかになりました。この問題は「LeakyCLI」と名付けられ、特にGitHub ActionsやCircleCIなどのツールを使用しているプロジェクトで見られるリスクです。Microsoftはこの問題に対処し、セキュリティアップデートをリリースしましたが、AmazonとGoogleはこの挙動を予想されるものとして扱い、対策として秘密情報を環境変数に保存しないよう組織に求めています。
この問題の核心は、CLIツールが環境変数の形で機密情報を表示し、これがCI/CD(継続的インテグレーション/継続的デリバリー)のログに出力されることにあります。これにより、悪意のある第三者がこれらの情報を収集し、システムへのアクセスやデータの盗み出しを試みる可能性があります。
この問題に対する対策として、AmazonとGoogleは環境変数に秘密情報を保存することを避け、AWS Secrets ManagerやGoogle Cloud Secret Managerのような専用の秘密ストアサービスの使用を推奨しています。また、Googleはコマンド出力を標準出力や標準エラーに表示しないようにする「–no-user-output-enabled」オプションの使用を推奨しています。
この問題のポジティブな側面としては、セキュリティ意識の向上と、秘密情報の管理方法に関するベストプラクティスの再確認が挙げられます。一方で、潜在的なリスクとしては、対策が適切に実施されない場合、機密情報の漏洩によるセキュリティ侵害のリスクがあります。
規制に与える影響としては、このような機密情報の漏洩はGDPRやその他のデータ保護規制に違反する可能性があり、企業に対して罰金や信用失墜などの重大な結果を招くことがあります。
将来への影響としては、この問題の認識と対策の取り組みが、より安全な開発環境の構築と、セキュリティを考慮したツールの開発につながることが期待されます。長期的には、企業や開発者がセキュリティリスクをより深く理解し、対策を講じる文化が醸成されることで、全体としてのサイバーセキュリティのレベルが向上することが予想されます。
from AWS, Google, and Azure CLI Tools Could Leak Credentials in Build Logs.
