Githubの開発者を狙ったフィッシングに注意

概要

GitHub開発者を標的にしたフィッシングが多発しています。GitHubアカウントおよびリポジトリが対象になっています。偽の警告を通じて、ユーザーが悪意のあるOAuthアプリケーションへの認証を行うことで、攻撃者に対してGithubの全アカウント制御を可能にしてしまいます。

影響を受けるシステム

このフィッシングは12,000以上のGitHubリポジトリを標的にしています。ユーザーは偽の警告を通じて「gitsecurityapp」という悪意のあるOAuthアプリケーションへの認証を促されます。

EC-CUBEなどのオープンソースのECシステムでもコードの管理はGithubを利用していることもあり、いつ今回のようなフィッシング攻撃の標的になるかわかりません。注意する必要があります。

対策

  • 予期しないセキュリティ警告には注意し、その正当性を確認してから行動するようにします。
  • アカウントの認証を求める疑わしいメールやメッセージ内のリンクをクリックしないでください。
  • パスワードを定期的に更新し、信頼できる方法で二要素認証(2FA)を有効化します。
  • アクティブセッションを確認し、権限を注意深く管理してください。

脆弱性の利用

この脆弱性により、攻撃者は影響を受けたGitHubアカウントおよびリポジトリの完全な制御を得ることができます。また、悪意のあるOAuthアプリケーションを認証することで、ユーザーは無意識のうちに公開/非公開リポジトリへのアクセスや変更、ユーザープロファイルの読み書き、組織メンバーシップへのアクセスなど危険な権限を付与してしまいます。

Note

https://www.csoonline.com/article/3846732/attackers-attempted-hijacking-12000-github-accounts-with-click-fix-alerts.html?utm_source=x&utm_content=content&utm_campaign=socialflow&utm_medium=organic_social

セキュリティに関する情報をフォロー

セキュリティ運用・保守

クマひよ工房では、EC-CUBEなどのECシステムやWordpressを使ったWebサイトなどのセキュリティ運用・保守サービスを提供しております。