この度、株式会社テリロジーワークス(本社:東京都千代⽥区、代表取締役社⻑:宮村信男)は、フランスGitGuardian社レポート「State of Secrets Sprawl 2022」日本語版を公開いたします。
多くの脅威アクター(サイバー犯罪グループなど)は、GitHubに代表されるパブリックな開発環境を日々スキャンしています。それはサイバー攻撃に有用なSecret(APIキーやクレデンシャルなど)が簡単に収集できるからです。そしてそれらの漏洩したSecretが実際に攻撃に利用されています。Secretの漏洩は、今や企業や組織にとって大きなリスクです。
機微な情報は、どの程度GitHubに漏洩しているのでしょうか?
フランスGitGuardian社は過去3年間にわたりこのテーマについての調査を実施しています。
その結果、GitHub.comから2022年に漏洩したSecretの総数は、1000万以上であることがわかりました。これは、2021年の調査から67%増加しています。
テリロジーワークスでは、本レポートの日本語翻訳版を作成いたしました。
弊社Webサイト内のフォームへご登録いただいた⽅にレポート閲覧⽅法をご案内しています。
https://www.twx-threatintel.com/threat-intelligence/20230327/the-state-of-secrets-sprawl-2023/
なお、当レポートの要点をGitGuardianが解説するウェビナーを6月8日に開催いたします。
詳細は本リリース後半をご覧ください。
-
レポートの内容(目次)
■パブリック モニタリング
・2022年の流出状況を振り返る
・シークレットのスプロール化がソフトウェア・サプライチェーン・セキュリティの脅威となる理由
・コードからクラウドへ:コードとして のインフラ(IaC)
・攻撃までの時間を計測する:ハニートークンを用いた実験
・「ミニ知識」
・DarkOwlによる知見:認証情報が取り引きされるダークネット上の裏経済圏
■ソフトウェア開発ライフサイ クル(SDLC)においてシーク レットのスプロール化を抑制 するには
■まとめ
■GitGuardianについて
■資料
-
【6月8日開催】当レポートの要点をGitGuardianが解説するウェビナーの参加申込を受付中
▼ウェビナータイトル
ソフトウェアサプライチェーンリスク対策 : “THE STATE OF SECRETS SPRAWL 2023”
GitHub.comから2022年に漏洩したSecretの総数は、驚きの1000万以上へ増加。
GitGuardianがソフトウェア開発環境のサイバーリスクについて解説します。
▼日時
2023年6月8日(木) 16:00~17:00
▼プログラム(一部抜粋)
THE STATE OF SECRETS SPRAWL 2023
~GitHubに漏洩するSecretの実態調査2023年版、その驚きの実態と最新インシデントの解説~
GitGuardian社 Developer Advocate / Mackenzie Jackson氏
【講演概要】
GitHubのレポジトリから漏洩するSecretの実態とはどのようなものか?どのようなタイプのSecretが頻繁に漏洩しているのか?実際に発生したインシデントから学ぶべきポイントは何か? 過去1年間でさらに変化したソフトウェア開発環境に潜むリスクを詳細解説します。
ウェビナーに関する詳細・お申込みは以下をご覧ください。(テリロジーワークスWebサイト)