Dropboxが130のGitHubリポジトリからコードを盗まれた被害を公表

クラウドストレージサービスのDropboxが、フィッシングによりGitHubに保存されているコードの一部を盗み出されたことを公表しました。Dropboxによると、今回のデータ侵害によるユーザーの個人情報の流出は一切なく、流出したコードはDropboxのコアアプリおよびインフラストラクチャに影響を及ぼすものではないと説明しています。

How we handled a recent phishing incident that targeted Dropbox - Dropbox
https://dropbox.tech/security/a-recent-phishing-campaign-targeting-dropbox

Dropbox discloses breach after hacker stole 130 GitHub repositories
https://www.bleepingcomputer.com/news/security/dropbox-discloses-breach-after-hacker-stole-130-github-repositories/

2022年9月、GitHubはユーザーを標的とするフィッシング攻撃に関する警告を行いました。この攻撃では、攻撃者がコード統合および配信プラットフォームであるCircleCIになりすまし、GitHubアカウントにアクセスしようとしていることが報告されています。

2022年10月14日、GitHubが不審な挙動についてDropboxに警告。Dropboxがこの不審な挙動について調査を行ったところ、前述のフィッシング攻撃と同じようにCircleCIを装う攻撃者がDropboxの保有するGitHubアカウントにアクセスしていたことが判明します。

調査の結果、この攻撃者がDropboxユーザーの保存データ・パスワード・支払い情報にアクセスすることはなかったと判明。攻撃者がアクセスできたのは、Dropboxの開発者が使用する資格情報(主にAPIキー)で、コード・Dropboxの従業員情報・顧客リスト・セールスリード・ベンダーの個人情報などが含まれていたそうです。そのため、「リスクは最小限であると考えているものの、影響を受ける人には通知を行いました」とDropboxは説明しています。

DropboxではGitHubを使用してパブリックリポジトリとプライベートリポジトリをホストしており、一部の内部デプロイメントにはCircleCIを使用しています。2022年10月初旬、複数のDropboxユーザーがCircleCIになりすましたフィッシングメールを受信。このフィッシングメールはDropboxのGitHubアカウントへの不正アクセスを狙ったもので、GitHubの資格情報を使用してCircleCIにログインできるアカウントに送信されていました。

Dropboxのシステムはこれらのメールの一部を自動的に隔離しましたが、残りのメールはDropbox従業員の受信トレイに届いたそうです。これらのメールには「偽のCircleCIログインページ」へのURLが記載されており、ここからGitHubアカウントのユーザー名およびパスワード、ハードウェア認証キーを用いたワンタイムパスワードを盗み取った模様。これにより、攻撃者はDropboxが運用する130ものGitHubリポジトリにアクセス可能となったそうです。

攻撃者がアクセス可能となったGitHubリポジトリには、サードパーティーライブラリの独自コピー、内部で開発中のプロトタイプアプリ、セキュリティチームが使用するいくつかのチーム構成ファイルが含まれていたそうです。Dropboxは「重要なのはコアアプリやインフラストラクチャ関連コードが含まれていなかったことです。これらのリポジトリへのアクセスはさらに制限されており、厳密に管理されています」と記しました。

GitHubから不審な挙動に関する通知を受けたのち、Dropboxはただちに攻撃者のGitHubへのアクセスを遮断。Dropboxのセキュリティチームは公開されたすべての開発者資格情報のローテーションを調整し、アクセスまたは盗まれた顧客データを特定するために直ちに行動を起こしました。Dropboxは「ログを確認しましたが、不正アクセスされたデータが悪用された形跡は見つかっていません」と記しています。

Dropboxは今後同じようなことが起きないように、WebAuthnの採用プロセスを加速させるとしています。