Menu

MicrosoftのGitHubがハッカーやランサムウェア集団に悪用されています。しかし、修復は可能でしょうか?

  • Howero
  • abmhh
  • 0 comments
MicrosoftのGitHubがハッカーやランサムウェア集団に悪用されています。しかし、修復は可能でしょうか?
ChatGPTによって生成 | ハッキングされているコンピューターの画像
GitHubは、脅威アクターによる信頼済みサイトへの攻撃に利用されています。 (画像提供: ChatGPT)

知っておくべきこと

  • 高度な持続的脅威 (APT) は、通常の活動に溶け込む方法を常に模索しています。
  • マルウェアやコマンド アンド コントロール テクニックをホストするために、優れたプラットフォームとして知られている Microsoft の GitHub を利用することで、APT はより大きな成功を収めています。
  • Recorded Future の脅威調査部門である Insikt Group は、GitHub を通じて行われる悪意のある活動の増加に関するレポートを公開しました。
  • Microsoft は Copilot で利益を上げるあらゆる方法を模索していますが、GitHub をクリーンアップすることは、LLM が実現できる可能性のある実際の優れたユースケースとなるでしょう。 

CESが閉幕し、企業全体がAIと、AIがいかにして企業の収益を増大させるかに注目しています。AIがより安全なデジタル世界を実現するという期待は数多く寄せられていますが、その成果はまだ実感できていません。Recorded Futureの脅威調査チームであるInsiktグループは本日、GitHubが脅威アクターやAPT(Advanced Persistent Threat)による悪意あるインフラとしてますます利用されていることについて論じたレポートを発表しました。

この問題自体は問題であり、報道に値するものですが、マイクロソフトが世界に向けてその実力を示す絶好の機会だと私は考えています。これは、アクティビジョンの「コール オブ デューティ ウォーゾーン」のようなゲームにおけるチート蔓延を彷彿とさせます。アクティビジョンは、Ricochetと呼ばれる独自の機械駆動型アンチチートシステムを開発する必要がありました。このシステムは、何千人ものチーターを繰り返しBANしています。同様に、マイクロソフトは、2018年に買収した非常に人気のあるサイトGitHubにアップロードされるすべてのコードを、Copilotを使ってインテリジェントに検査、分析、検証することを検討すべきです。 

ハッカーは GitHub をどのように悪用しているのでしょうか?

Microsoftは、数々のサイバーセキュリティ問題の解決に取り組んでいます。ハッカーは長年にわたりWindowsで「living off the land(土地寄生)」、つまり最初にアクセスしたOS上で利用可能なプログラムや実行ファイルを利用して侵入してきましたが、今では信頼済みサイトを利用して同様の成功を収めています。The Insikt Groupがレポートで用いた造語である「living off the land(信頼済みサイト寄生)」は、サイバーセキュリティの分野でよく知られている「living off the land(土地寄生)」に類似しています。信頼済みサイトを利用することで、これらの脅威グループはほとんどの企業管理を回避し、通常のトラフィックに紛れ込むことで、その効果と検知回避能力を大幅に高めることができます。 

GitHubの問題とその蔓延状況に関する詳細な分析をお探しの方は、Insikt Groupsのレポート全文をご覧ください。ただし、ここでは要約版をご用意しています。APTとも呼ばれる高度なハッカーは、標的への攻撃チェーンを構築するために、GitHubをいくつかの重要なインフラストラクチャに利用しています。 

GitHub のサービスは、ペイロード配信、DDR、窃取、コマンド アンド コントロール (C2)、その他の目的 (フィッシングなど) を含む、さまざまな悪意のあるインフラストラクチャ スキームで、サイバー犯罪者と高度な持続的脅威 (APT) の両方によって悪用されています。

インシクトグループ

Insikt Groupの説明によると、脅威アクターはGitHubをペイロードの配信に利用しています。つまり、標的マシンへの初期アクセスが完了すると、通常はスクリプトを実行して悪意のあるペイロードをホストにダウンロードします。これはGitHubの最も一般的な使用例ですが、一部のAPT攻撃ではC2として利用されており、GitHubリポジトリからコマンドを送受信し、場合によってはGitHubにデータを流出させています。 

Insikt Groupは、GitHubがなぜ脅威であり、脅威グループにとって攻撃の配信手段として非常に効果的であるかを解説しています。GitHubが攻撃者にもたらす利点の一部をご紹介します。 

  • 企業の間で GitHub が人気があり、多くの企業が GitHub に依存しているという事実を考慮すると、ほとんどの企業ネットワークでは GitHub ドメインがブロックされません。 
  • 公的に承認された TLS 暗号化を利用して C2 サーバーのインストール プロセス全体を簡素化し、運用オーバーヘッドを削減しました。 
  • 悪意のある活動以外の正当な使用例を考慮すると、マルウェア開発者の間では GitHub の実践的な経験が広く普及しています。 
  • 一般的なホスティング料金や登録料金を節約することで、インフラストラクチャのコストを削減します。 
  • GitHub は冗長サーバーとフェイルオーバー メカニズムを備え、高可用性を実現するように設計されているため、稼働時間が長くなります。
  • GitHub に新しいアカウントを登録するための審査が最小限に抑えられている (たとえば、登録時にクレジットカードが不要なため、追跡不可能な資金調達および支払い方法の作成には時間がかかり、不必要な複雑さが生じるため、高度な APT にとっては大幅なコスト削減となります)。 
  • サービスプロバイダーによる検出の可能性は限られています (特に人間が管理するアカウントの場合)。 
  • 脅威アクターがLIS(ネットワーク情報システム)を使用している場合、脅威アクターの上流への追跡や被害者の特定はより困難になります。具体的には、追跡がネットワークトラフィック分析に依存している場合、LISへの遭遇は大きな障害となり、悪意のあるトラフィックと正当なトラフィックを区別することが困難になり、調査は事実上行き詰まります。
  • 脅威モデリング用のツールの利用が限られており、このようなインフラストラクチャ設定に固有の実用的な脅威インテリジェンスはほとんどありません。

私の意見では、これはMicrosoftにとって大きな汚点です。GitHubがいかに安全ではないかという理由で、人々はGitHubをPastebinと比較しています。もちろん、MicrosoftはGitHubにCopilotを統合しています。それでも、エンドユーザー向けのAIソリューションを統合する前に、サイトのクリーンアップにもっと力を入れるべきだと私は考えています。

Windows と Xbox の熱狂的なファンのための最新ニュース、レビュー、ガイド。

マイクロソフトがAIを活用してGitHubをクリーンアップする方法

LLMやAIは一般的にまだ全てを完璧にマスターしているわけではありませんが、コーディングとプログラミングに精通していることは広く認められているようです。ChatGPTはゲームのコーディングに協力し、指示に従うことに非常に長けていました。とはいえ、Copilotを一種のコンテンツフィルターとして活用することは可能でしょう。YouTubeが不適切なコンテンツをチェックするのと同じように、プラットフォームにアップロードされたすべてのコードを仮想サンドボックスで実行し、コードの動作を分析できるはずです。疑わしいコードには、人間による手動レビューのためにフラグを立てるべきです。 

Recorded Futureは、GitHubが現実世界のシナリオでどのように悪用されてきたかを示しています。北朝鮮の脅威グループがGitHub上で悪意のあるファイルをホストし、韓国の複数の産業を標的にしていた様子をZscalerがどのように追跡したかは、非常に興味深いものです。

総じて言えば、Microsoftは消費者向けソリューションを常に押し付けるのではなく、Copilot/AIを子会社の改善に活用すべき時が来ていると言えるでしょう。GitHubのクリーンアップには相当な人員が必要になるため、Microsoftがこれまで対応に時間がかかっているのは当然でしょう。しかし、AIの力を借りれば、この作業はより容易になるはずです。 

マイクロソフトはセキュリティ問題を解決できるのでしょうか?

Microsoft は Security Copilot を展開しており、サイバーセキュリティ防御のパフォーマンス向上に役立っているというデータがあります。ただし、Microsoft の多くの機能と同様に、これは作業を行う顧客に依存しており、Microsoft は非介入のアプローチを維持しています。 

マイクロソフトは顧客サービスなどにあまり投資しないことで知られており、その姿勢はサイバーセキュリティにも及んでいるようだ。確かに、システムを稼働させるためのエンジニアはいるし、パッチチューズデーに向けてアップデートをリリースする努力もしているが、その行動の多くは反動的なものに過ぎない。あらゆるテクノロジーへのAI統合の波が押し寄せる今こそ、マイクロソフトが他社に目を向ける前に、自らの約束を守り、セキュリティ対策を講じる絶好の機会と言えるだろう。 

これらのニュースを通して変わらないように見えるのは、企業を悪意ある攻撃者から守るために、最前線で働く人間のアナリストやエンジニアの必要性が今も、そしてこれからも存在し続けるということです。ご興味があれば、サイバーセキュリティ入門ガイドをご覧ください。

マイクロソフトは今後数年間のXboxの計画を漏洩した責任を負っていますが、ソニーのInsomniacは最近、高度な脅威グループによる侵入を受けており、その漏洩による被害は計り知れません。仮にマイクロソフトが自社のセキュリティを維持できなくなったとしましょう。そうなれば、サイバーセキュリティソリューションを販売する企業として、Defenderなどのマイクロソフトのセキュリティ製品を利用する企業顧客を保護することがより困難になるでしょう。一方、マイクロソフトがOS、サーバー、そしてGitHubなどの関連サービスを強化することで、セキュリティホールや弱点を補うことができれば、世界中で侵入の成功件数が大幅に減少し、関係者全員にとってメリットとなるでしょう。 

GitHubがハッカーに悪用されていることについて、どう思われますか?MicrosoftはAIを活用して、GitHubにアップロードされるコードのモデレーションを支援できますか?ぜひコメント欄でご意見をお聞かせください。

コルトンは、Windows Centralの読者とテクノロジーへの情熱を共有したいと願う、経験豊富なサイバーセキュリティ専門家です。最新のゼロデイ攻撃から企業を守る活動や、記事を通して自身の考えを発信する活動に携わっていない時は、家族と過ごしたり、PCやXboxでビデオゲームを楽しんだりしています。コルトンは購入ガイド、PC、デバイスの執筆に注力しており、新興テクノロジーやゲームのニュースについて話し合うことを常に歓迎しています。