RedHunt Labsは1月29日(英国時間)、「Mercedes-Benz Source Code at Risk: GitHub Token Mishap Sparks Major Security Concerns - RedHunt Labs」において、大手自動車メーカーのメルセデス・ベンツからソースコードが漏洩したと報じた。漏洩したデータには、データベース接続情報、クラウドアクセスキー、ブループリント、設計ドキュメント、シングルサインオン(SSO: Single Sign On)パスワード、アプリケーション・プログラミング・インターフェイス(API: Application Programming Interface)キー、その他重要な内部情報が含まれるという。
漏洩の原因
漏洩の原因はメルセデス・ベンツのフルタイム従業員が、GitHubリポジトリー内にGitHubトークンを漏洩したことにある。このGitHubトークンの漏洩により、同社のGitHub Enterprise Serverにてホストされているソースコード全体への無制限かつ監視のないアクセスが可能になった。
RedHunt Labsの調査によると、GitHubトークンは2023年9月29日21時37分(オーストラリア西部標準時)ごろに漏洩。2024年1月24日にGitHubトークンが取り消されるまでソースコード全体へのアクセスが可能な状態だったとみられる。漏洩した可能性のあるAPIキーは同日中に取り消されている。
影響と対策
RedHunt Labsによると、この漏洩事案により次のような影響が考えられるという。
- 漏洩したソースコードに機密性の高い認証情報が含まれている場合、さらなる深刻な侵害を受ける可能性
- メルセデス・ベンツに深刻な財務上の影響を及ぼし、予測不可能な経済的損失をもたらす可能性
- 「営業秘密および知的財産法」に違反する可能性があり、メルセデス・ベンツと違反者に法的責任が科せられる可能性
- EU一般データ保護規則(GDPR: General Data Protection Regulation)およびドイツの法律に違反する可能性
- 機密情報の暴露によりメルセデス・ベンツの評判を傷つけ、顧客、パートナーなど関係者の信頼を毀損する可能性
RedHunt Labsはこのような漏洩事案を防止するために、リスクの露出防止および早期発見が重要と指摘している。そのために、サイバー攻撃の標的となりうる資産を把握・管理する取り組み(ASM: Attack Surface Management)を可能とするセキュリティソリューションを導入し、組織の内外から保有する資産を発見、管理することが望まれている。