パスワードを忘れた? アカウント作成
10789710 story
セキュリティ

GitHub上で不適切に公開されている秘密鍵を使ってAWSに不正アクセスする事例が発生 12

ストーリー by hylom
心当たりがある人も少なくなさそうだが 部門より
insiderman 曰く、

以前、GitHubで多くのユーザーが秘密鍵を公開状態にしていたことが判明という話題があったが、誤ってGitHub上で公開状態にされているAmazon Web Services(AWS)の秘密鍵を使って、不正に仮想サーバーのインスタンスを立ち上げて大量の請求を行わせたり、またユーザーの環境を操作・破壊するという攻撃が発生していることが報告されている(ITnewsslashdot)。

AWSはAPIを使って外部プログラムやスクリプトから操作が可能だが、この際に秘密鍵を使った認証を行う。逆にいうと、この秘密鍵情報が分かればユーザー名やパスワードが分からなくてもAWS上のリソースの操作が可能になってしまう。

Amazon側はこれに対し、セキュリティガイドラインに従って認証情報は注意して管理してほしいと述べている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年03月26日 18時53分 (#2569700)

    大量の請求くらいで済んでよかったですね。
    そのうち秘密鍵が売買の対象になって、その情報が犯罪(児童ポルノ配信やフィッシング、遠隔操作のC&Cサーバ)に
    使われたりするのも時間の問題な気がします。

    • by Anonymous Coward on 2014年03月27日 10時20分 (#2570029)

      8xlargeみたいな凄いインスタンスをボコボコ上げられて、ビットコインの採掘をさせるというのが多いみたい。
      そういう不正利用では数日で数十万円もの請求に及ぶこともあるようだが、Amazonも対応が早くて請求をすぐに撤回してくれるらしい。

      Amazonはイメージダウンを恐れてか、あまり注意喚起していないようだ。

      Amazonが被害状況を何も発表しないのでどれだけの影響が出てるのかわからないが、ここも含めていくつかのルートから不正利用の話が聴こえてきたので、それなりにインシデントは発生しているのではないかと思ってしまう。

      利用者は毎日チェックしておかないと、気が付いたらクレジットカードの限度額を超えた請求が行われてカード事故になるかもしれない。
      あまりに急な高額料金が発生しているユーザには、Amazonが請求前に確認をすることをしている可能性もあるが、利用者でも被害者でもないのでわからない。

      親コメント
      • by Anonymous Coward

        仕事で数十のインスタンス使ってますが一度に5個くらい増やしたらAmazonから確認の電話きたことありますね
        それ以外でも「なにか困ったことないですか?」みたいな電話もたまにくれます

  • by Anonymous Coward on 2014年03月26日 23時08分 (#2569848)

    ・怪しいフィンガープリントのsshサーバーに接続しない
    ・秘密鍵を定期的に変更する

    • by Anonymous Coward

      誰に何を煽ってるのか

  • by Anonymous Coward on 2014年03月27日 0時37分 (#2569889)

    とある IDE でプロジェクトディレクトリの配下に .ide 見たいなのが出来て、
    その中に設定ファイルと一緒にライセンスがプレーンテキストで格納されるってのはあったな。

    # で、気になって検索したらやっぱり公開しちゃってる人いたね。
    # 登録したプロジェクト単位で無償で発行されるライセンスだったから雑な管理だったのかも知れないけど

  • by Anonymous Coward on 2014年03月27日 1時10分 (#2569897)

    SSHとかで使う時は、秘密鍵ファイル自体もパスフレーズで保護しますよね?
    AWSはどういう鍵ファイルなんでしょうかね、毎回パスフレーズは聞かれないような、
    ユーザフレンドリー(?)なシステムなんでしょうか。

    • OpenSSHのssh-keygenで生成できるのと同じ普通の鍵ですよ。
      AWSで生成した時点ではパスフレーズはついていませんが、それをダウンロードしてパスフレーズを設定しないのはユーザの責任です。

      親コメント
    • by Anonymous Coward

      パスフレーズはない。
      仮にあったとしても、サーバーアプリケーションなんだからそれも含めてGitHubにアップロードしてるでしょ。
      そういう人は。

    • by Anonymous Coward

      SOAPに使うpem? それがユーザフォルダに置かれてる?
      なんでそんなものが置かれ、かつ公開状態になるの?
      あと秘密鍵だけでなく証明書も必要だったような(これは共通なの?)
      RESTなら文字列2つだけどさすがにこれが置かれてることはないよなあ。

      そう言えばニフティクラウドも同じ認証(パk(ry)だから、鍵が漏れれば当然同じだな。

      • by Anonymous Coward

        コードいじってgitでまるごとうpるんだろ。GitHubは非公開リポジトリ有料だから基本全部公開だよ

  • by Anonymous Coward on 2014年04月10日 12時58分 (#2579201)

    わたしです
    1日で偶然発見しましたが、c3.8xlargeのインスタンスが各リージョンに渡り作られていてびっくりしました・・・
    親切にも?SPOTインスタンスで起動されてましたw 発見が遅れたかと思うと恐ろしいです。
    MiningPool (ami-8d9be78c)というAMIなので、ビットコイン採掘だと思います。

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...