概要
GitHub開発者を標的にしたフィッシングが多発しています。GitHubアカウントおよびリポジトリが対象になっています。偽の警告を通じて、ユーザーが悪意のあるOAuthアプリケーションへの認証を行うことで、攻撃者に対してGithubの全アカウント制御を可能にしてしまいます。
影響を受けるシステム
このフィッシングは12,000以上のGitHubリポジトリを標的にしています。ユーザーは偽の警告を通じて「gitsecurityapp」という悪意のあるOAuthアプリケーションへの認証を促されます。
EC-CUBEなどのオープンソースのECシステムでもコードの管理はGithubを利用していることもあり、いつ今回のようなフィッシング攻撃の標的になるかわかりません。注意する必要があります。
対策
- 予期しないセキュリティ警告には注意し、その正当性を確認してから行動するようにします。
- アカウントの認証を求める疑わしいメールやメッセージ内のリンクをクリックしないでください。
- パスワードを定期的に更新し、信頼できる方法で二要素認証(2FA)を有効化します。
- アクティブセッションを確認し、権限を注意深く管理してください。
脆弱性の利用
この脆弱性により、攻撃者は影響を受けたGitHubアカウントおよびリポジトリの完全な制御を得ることができます。また、悪意のあるOAuthアプリケーションを認証することで、ユーザーは無意識のうちに公開/非公開リポジトリへのアクセスや変更、ユーザープロファイルの読み書き、組織メンバーシップへのアクセスなど危険な権限を付与してしまいます。
Note
セキュリティに関する情報をフォロー
セキュリティ運用・保守
クマひよ工房では、EC-CUBEなどのECシステムやWordpressを使ったWebサイトなどのセキュリティ運用・保守サービスを提供しております。