米サイバーセキュリティ機関CISA、GitHubでの情報漏洩事件で「対応計画がなかった」と認める
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、請負業者が政府システムへの機密情報をGitHub上で公開してしまった後、実際の事件発生中に緊急対応計画を策定せざるを得なかったと明かした。
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、5月に発生したクラウド上での機密情報漏洩インシデントに関して、事前に準備された対応計画(プレイブック)が存在しなかったことを事後検証報告書(ポストモーテム)で認めた。そのため、担当者は「インシデント初期段階で[プレイブック]を作成する時間を費やした」と同時に、場当たり的な対応を強いられた。
このインシデントは5月に発生した。GitGuardian社のセキュリティ研究者が、米国政府システムへのアクセスに使う鍵や認証情報(クレデンシャル)といった多数の機密情報が、公開GitHubリポジトリ(プログラムコードの保存・管理場所)に保存されているのを発見した。これらの情報は、CISAの請負業者で働く従業員によってアップロードされたものだった。研究者は請負業者に直接連絡を試みたが、応答はなかった。
この件は、研究者が独立系サイバーセキュリティ調査報道ジャーナリストのBrian Krebs氏に連絡した後に公になった。Krebs氏がCISAに直接連絡を取った後、CISAは当該リポジトリをシステムから削除し、漏洩した機密情報を全て取り消しまたは変更する措置を直ちに講じた。
興味深い点は、CISAが長年にわたり、様々な種類のサイバーインシデントに対応するためのプレイブックを官民問わずあらゆる組織に作成するよう呼びかけてきた機関であることだ。しかし、最新の報告書では、同庁自身がこのような特定の状況に対する「GitHub/Cloudプレイブックの作成を怠っていた」と認めている。ただし、CISAは事後調査の結果、漏洩した情報が悪用された証拠は見つかっておらず、顧客情報やその他の機密情報が影響を受けた形跡もないと断言している。
この事件は、サイバーセキュリティを管轄する国家機関でさえプロセス上の脆弱性を抱えうるという重要な警告である。問題発生後に場当たり的に作成するのではなく、あらゆる状況に備えた事前対応計画(プレイブック)の重要性を改めて浮き彫りにした。