Gitlocker フィッシング攻撃
サイバーセキュリティの脅威が進化する中、GitHub リポジトリを標的とした新しい Gitlocker 攻撃キャンペーンが出現しました。この攻撃では、悪意のある攻撃者がアカウントを侵害し、リポジトリのコンテンツを消去し、被害者に Telegram 経由で連絡してさらなる指示を求めるよう要求します。この記事では、このキャンペーンの詳細、その手口、およびこのような攻撃から保護するための推奨セキュリティ対策について詳しく説明します。
目次
攻撃の手口
Gitlocker キャンペーンの攻撃者は、特に GitHub リポジトリをターゲットにしています。リポジトリへのアクセスに成功すると、その内容を消去します。次に、攻撃者はリポジトリの名前を変更し、身代金要求のメモを添えた README.me ファイルを残し、被害者に Telegram で連絡するように指示します。
盗まれた資格情報
このキャンペーンの背後にいる脅威アクターは、Telegram で Gitloker というハンドル名で活動しており、盗んだ認証情報を使って GitHub アカウントにアクセスしようとしているようです。サイバー インシデント アナリストを装い、侵害されたデータをバックアップしたと主張し、復元を手伝うと申し出ています。身代金要求メッセージの全文は次のとおりです。
「このメッセージがあなたの元に届き、あなたが元気でいらっしゃることを願っております。これはあなたのデータが侵害されたことをお知らせする緊急通知であり、バックアップを確保しました。」
対応と勧告
以前の攻撃を受けて、GitHub は、不正アクセスからアカウントを保護するためにパスワードを変更するようユーザーに推奨しています。このアクションは、新しい SSH キーの追加、新しいアプリの承認、チーム メンバーの変更などの悪意のあるアクティビティを防ぐために不可欠です。
強化されたセキュリティ対策
さらなる侵害を防ぎ、疑わしい活動を検出するために、ユーザーは次のセキュリティ対策を実装することをお勧めします。
- 2 要素認証 (2FA) を有効にする: ログイン プロセスにセキュリティの層を追加します。
- パスキーを追加: 安全なパスワードなしのログインを実現します。
- 不正アクセスの確認と取り消し: SSH キー、デプロイ キー、承認済み統合を定期的に確認および管理します。
- 電子メール アドレスの確認: 関連付けられているすべての電子メール アドレスが正しく、安全であることを確認します。
- アカウント セキュリティ ログを確認する: リポジトリの変更を追跡して、不正な変更を特定します。
- Webhook の管理: リポジトリ上の Webhook を定期的に監査および管理します。
GitHub 侵害の歴史的背景
Gitlocker 攻撃は孤立した事件ではありません。GitHub アカウントは以前にも標的にされ、侵害され、重大なデータ侵害につながったことがあります。
2020 年 3 月の Microsoft 侵害: ハッカーが Microsoft のアカウントを侵害し、プライベート リポジトリから 500 GB を超えるファイルを盗みました。盗まれたデータは主にコード サンプルとテスト プロジェクトで構成されていましたが、プライベート API キーとパスワードの漏洩が懸念されていました。脅威アクター ShinyHunters は、当初はデータを販売する予定でしたが、最終的には無料でデータを漏洩しました。
2020 年 9 月のフィッシング キャンペーン: GitHub ユーザーは、偽の CircleCI 通知を含むフィッシング キャンペーンの標的になりました。攻撃者は、リバース プロキシ経由で GitHub の認証情報と 2FA コードを盗むことを目指しました。アカウントを侵害した後、データを盗み出し、永続的なアクセスを維持するために新しいユーザー アカウントを追加しました。
結論
Gitlocker フィッシング攻撃は、オンライン リポジトリに対する継続的な脅威と、堅牢なセキュリティ対策の重要性を強調しています。推奨されるセキュリティ対策を実施し、警戒を怠らないことで、ユーザーは GitHub アカウントを不正アクセスや潜在的なデータ損失からより適切に保護できます。サイバー脅威は進化し続けているため、貴重なデジタル資産を保護するには、セキュリティに対する積極的なアプローチを維持することが不可欠です。
