知って得するセキュリティのはなし その26
オムニ7アプリのソースコードに漏洩の疑い…「GitHub」上で閲覧可能な状態に
1.このニュースをざっくり言うと
- 7月24日(日本時間)、一部ネットメディアより、セブン&アイグループが提供するモバイルアプリ「オムニ7アプリ」のソースコードがコード管理サイト「GitHub」において閲覧可能な状態だった、とする記事が発表されました。
- 記事によれば、7月上旬に発生した「7pay」における不正購入等の問題に関連して、同グループのオムニ7アプリの解析を行っていた外部のエンジニアが解析中に表示されたアプリのアクセス先サーバの名前をGitHub上で検索したことがきっかけとのことです。
- ソースコードは2015年5月~7月頃時点のものとされ、7月10日には削除されている他、GitHub上でフォーク(他のユーザによる複製)されたものも同18日に開発に関わったとみられる業者からの削除申し立てがされたとのことです。
2.執筆者からの所感等
- GitHubはソースコードやドキュメント等を管理(複数名による分散管理)ないし不特定多数と共有するためのサイトとして特に開発者に絶大な人気を持っていますが、2019年1月まではリポジトリ(ソースコードの保管庫)を非公開にする設定が有料ユーザのみに制限されていた経緯があります。
- ソースコードのバージョンが古い等の状況から、「アプリの開発チームが正式にGitHubを使用していた訳ではなく開発者の一人が個人的にアップロードしていた」こと、第三者に開示することを意図していなかったであろうソースコードを「当時有料ユーザ契約をしなかったことにより公開状態で管理していた」こと、そして「GitHubを使わなくなり削除することを怠っていた」こと、等が推測されます。
- 全てのデータを社内等のサーバに保存する「オンプレミス」での開発に慣れ、それしか知らない状態でチームや個人が安易に「クラウド」を採用することは危険であり、「基本的に非公開とし誤って公開されていないか確認する」「公開状態のリポジトリにセンシティブなデータ(パスワードやセキュリティトークン等)を含んだ状態でアップロードしない」「管理対象を把握し不要となったものは可及的速やかに削除する」等、利用にあたって注意すべきことを事前に啓発し、適切に利用させることがクラウドの利用にあたっては最低限必要となります。
- 一方のオンプレミスにおいても「サーバが外部にないから安全」という認識でいるのではなく、クライアントPCに感染したマルウェア等を経由して不正アクセス等が行われる可能性に注意し、UTMの設置やネットワークセグメントの分割等といった防御策をとることが重要です。