Recorded Futureは1月11日(米国時間)、「Flying Under the Radar: Abusing GitHub for Malicious Infrastructure|Recorded Future」において、GitHubを悪用するサイバー攻撃者が増加していると伝えた。攻撃者によるGitHubの悪用に関する分析結果は「(PDF) Flying Under the Radar: Abusing GitHub for Malicious Infrastructure」で確認できる。

  • Flying Under the Radar: Abusing GitHub for Malicious Infrastructure|Recorded Future

    Flying Under the Radar: Abusing GitHub for Malicious Infrastructure|Recorded Future

GitHubがサイバー攻撃者に人気の理由

Recorded Futureによると、GitHub悪用の主な目的にはペイロードの配信、デッドドロップ・リゾルバ(DDR: Dead Drop Resolver)、コマンド&コントロール(C2: Command and Control)、情報漏洩などがあるという。GitHubはこれら多くの目的に利用されるほど、サイバー攻撃者に人気がある。

これは悪意のある通信トラフィックが正規のトラフィックに紛れ込むことができるためとされる。Recorded Futureは、GitHubの不正使用を検出する一般的な方法は存在しないと説明しており、検出を試みるには特定の環境、組織構造、リスク許容度に合わせた検出戦略を組み合わせる必要があるという。

また、GitHubの悪用に対抗するにはより多くのリソースが必要で、GitHubのような正規のインターネットサービス(LIS: Legitimate Internet Services)にはポリシの変更と技術革新を通じてこの問題に対処する重要な役割が期待されるとしている。

  • 2023年3月から11月までのサンプルにおいて悪用されたGitHubサービスの内訳 - 提供:Recorded Future

    2023年3月から11月までのサンプルにおいて悪用されたGitHubサービスの内訳 引用:Recorded Future

GitHubの悪用に関する調査結果のポイント

主な調査結果の概要は次のとおり。

  • GitHubはあらゆるマルウェアや脅威アクターに悪用されている
  • ペイロード配信を目的とした悪用は、その容易さから普及が際立っている
  • デッドドロップ・リゾルバとしてのGitHubの利用は一般的になっている
  • コマンド&コントロール(C2: Command and Control)実装としての悪用は比較的まれで、持続的標的型攻撃(APT: Advanced Persistent Threat)の活動で利用されている
  • 情報漏洩にGitHubを利用することはできるが、他の目的に比べるとあまり一般的ではない
  • GitHubはこれら以外の目的にも悪用されている

Recorded Futureは、脅威アクターが享受している利点と防御側が直面している課題を考慮すると、今後数年間はGitHubの悪用が引き続き増加するだろうと予測。GitHubを悪用するマルウェアファミリーと脅威アクターの増加に加え、悪用されるGitHubサービスの多様性も増加する可能性があると指摘している。

このような状況に対抗するために、GitHubなどの正規のインターネットサービス(LIS)を提供する組織には、システムの悪用を検知して対抗する専門チームの結成が必要だと結論づけている。また、このような解決困難な課題に対しては、近年進化が著しいAIの活躍が期待されており、関係者には積極的な開発と防御の取り組みが望まれている。