GitHubがサイバー犯罪者によるマルウェア配信の温床として悪用されているという指摘

ソフトウェア開発のプラットフォームであるGitHubは、記事作成時点で1億人以上の開発者によって利用されています。しかし、その人気と実用性の高さと裏腹に、サイバー犯罪者によるマルウェアの配信にGitHubが利用されていることが指摘されています。

Flying Under the Radar: Abusing GitHub for Malicious Infrastructure | Recorded Future
https://www.recordedfuture.com/flying-under-the-radar-abusing-github-malicious-infrastructure

Flying Under the Radar: Abusing GitHub for Malicious Infrastructure - cta-2024-0111.pdf
(PDFファイル)https://go.recordedfuture.com/hubfs/reports/cta-2024-0111.pdf

Miscreants absolutely love using GitHub to sling malware • The Register
https://www.theregister.com/2024/01/12/github_malware_popularity/

サイバーセキュリティ企業のRecorded Futureは、2024年1月11日に公開したレポートにおいて、「GitHubがマルウェアをサポートおよび配信するためにサイバー犯罪者によって頻繁に悪用されている」と警告しています。

Recorded Futureによると、「企業ネットワークによってGitHubドメインがブロックされることはめったにない」「GitHubはドメイン登録費用などの追加料金が不要で、その知名度から信頼性が高く、簡単な審査で新規アカウントを作成できる」との利点からサイバー犯罪者がマルウェアの配信にGitHubを利用しているとのこと。

一方でGitHubはPHPのバックエンドに対応しておらず、PHPベースのマルウェアを配信したいサイバー犯罪者にとって制限があります。また、世界最大級のソフトウェア開発プラットフォームであるGitHubには非常に強力なセキュリティチームが存在するとみられているほか、配信できるファイルサイズと帯域幅に制限が課されており、マルウェアによる攻撃リソースが限られる可能性があります。

それでも、サイバー犯罪者はGitHubを用いてペイロードの配信やコードのデッドドロップ・リゾルバ、コマンド＆コントロール、データの流出を行っていると考えられています。

さらに、Recorded Futureは2023年3月から11月までのサンプルにおいて悪用されたGitHubサービスの内訳を公開しており、大半をRAWファイルやObjectsが占めていることが報告されています。

Recorded Futureは「悪意のあるインフラストラクチャにGitHubのサービスを利用すると、サイバー犯罪者は正当なネットワークトラフィックにマルウェアを紛れ込ませることが可能です。多くの場合、GitHubを通して配信されたこれらのマルウェアは従来のセキュリティブロックを突破し、アップストリームによる追跡が困難になります」と報告しています。

これらのマルウェアに対してRecorded Futureは「悪用される可能性のあるGitHubのサービスにフラグを立てたり、ブロックしたりすることを推奨します。また、企業はGitHubサービスの利用状況を詳細に調べて、具体的な防御戦略を取る必要があります」と提言しました。

Recorded Futureによる今回の報告を受けてGitHubは「マルウェアの配信にGitHubが用いられているという問題は、業界全体のサービスに影響を及ぼしかねません」と述べ、「GitHubには利用規約に違反するコンテンツの検出や分析、削除を専門とするチームが存在します。また、機械学習を使用したレビューや検出を行うことで、悪意のあるコンテンツに対する進化や適応が進められています。ユーザーの皆さまには、不正行為やスパムに対する報告を行うことをお勧めします」と語りました。