Aqua Securityの研究者チームは6月13日(米国時間)、「Public Travis CI Logs (Still) Expose Users to Cyber Attacks」において、Travis CI APIの既知のセキュリティ脆弱性によって多くのユーザートークンが流出したと指摘した。7億7000万を超える無料利用枠ユーザーの平文の履歴ログがサイバー犯罪者に閲覧され、悪用される危険性があるとしている。

  • Public Travis CI Logs (Still) Expose Users to Cyber Attacks

    Public Travis CI Logs (Still) Expose Users to Cyber Attacks

Travis CIはGitHubなどのクラウドリポジトリプラットフォームでホストされるソフトウェアプロジェクトの構築およびテストに利用される継続的インテグレーション(CI:Continuous Integration)サービス。この既知の脆弱性を悪用することでGitHub、AWS、Docker Hubなど多くのユーザーを抱えているクラウドサービスプロバイダーに関するトークンやアカウント情報が履歴ログから抽出できてしまうと報告されている。

またAqua Securityでは履歴ログの取得方法も詳細に伝えている。実験によると、2013年1月まで遡って履歴ログが取得でき、約7億7000万のログが取得できると説明している。

この既知の脆弱性は過去にもTravis CIに報告されている。しかしながら完全な修正は行われていない。Aqua Securityの研究者たちはこのリスクに対して、CI環境を保護するためにいくつかの主な対応策を挙げている。

  • キー、トークンおよびその他の機密情報のローテーションポリシーを確立する
  • キーとトークンに最小特権の原則を適用する
  • 機密情報、トークンをログに出力しない
  • 定期的に成果物をスキャンして機密情報があるかを確認する

このような既知の脆弱性はサイバー犯罪者にとって格好の的とされる。今回攻撃対象に該当するサービスを利用しているユーザーはAqua Securityの研究者があげた対応策を参考に処置することが望まれる。