世界を動かす技術を、日本語で。

スウェーデンの電子政府サービスのソースコードが流出しました

概要

  • ByteToBreach によるスウェーデン電子政府プラットフォームの 全ソースコード流出 事件
  • インフラ管理元は CGI Sverige AB (CGI Groupのスウェーデン子会社)
  • ソースコードは 無料公開、市民データベース等は 別途販売
  • Jenkins完全侵害Dockerエスケープ など複数の脆弱性を悪用
  • 被害は スウェーデン政府ITサービス全般 に及ぶ重大インシデント

スウェーデンE-Govプラットフォーム ソースコード流出事件

  • 脅威アクター ByteToBreach による攻撃事例

  • 被害組織は CGI Sverige AB、スウェーデン政府のITサービス運営企業

  • 電子政府プラットフォームの全ソースコード が漏洩

  • Viking Line 事件の同一アクターによる犯行

  • 公開内容は設定ファイル断片ではなく 完全なソースコード

  • 市民PIIデータベース電子署名関連ドキュメント も窃取(別途販売)

    • スタッフデータベース
    • APIドキュメント署名システム
    • Jenkins SSHピボット認証情報
    • RCEテスト用エンドポイント
    • 初期侵入・脱獄アーティファクト
  • 複数の脆弱性 を利用した侵入経路

    • Jenkinsサーバー完全侵害
    • JenkinsユーザーがDockerグループに所属していることによる Dockerエスケープ
    • SSH秘密鍵 による横断ピボット
    • .hprofファイル 解析による内部偵察
    • SQL copy-to-program によるピボット攻撃
  • アクターは「 第三者責任論」を否定し、 CGIインフラ の責任を強調

  • Viking LineSlavia Pojistovna も同様の手口で被害

  • ソースコードは無料 で複数バックアップリンクからダウンロード可能

  • 市民データベース等は別途販売、機密性極めて高い

被害データカテゴリ

  • 電子政府プラットフォーム全ソースコード
  • スタッフデータベース
  • APIドキュメント署名システム
  • Jenkins SSHピボット認証情報
  • RCEテスト用エンドポイント
  • 初期侵入・脱獄アーティファクト
  • 市民PIIデータベース (別途販売)
  • 電子署名ドキュメント (別途販売)

事件の影響と論点

  • スウェーデン政府ITインフラ の広範な信頼失墜
  • 市民データ流出リスク の高まり
  • Jenkins/Docker連携環境 のセキュリティ課題露呈
  • サードパーティ責任論 の限界とインフラ運用企業の直接責任
  • 無料公開による二次被害拡大 の懸念

関連情報

  • Claim URL はサブスクライバー限定のThreat FeedまたはRansomware Feedで提供
  • 画像プレビュー あり(詳細は元情報参照)

Hackerたちの意見

ソースコードなんて大したことないよ!記事から引用すると、>「市民の個人情報データベースや電子署名の文書も集められているけど、別々に売られている」ってさ。

マジで、そんなの売るなんて人間として最低だよ。

そうだね、ソースコードは脆弱性を見つけるのに役立つだけで、そんなに大きな問題じゃない。個人情報は本当に恥ずかしいね。

ソースコードに焦点を当ててるせいで、スウェーデンのニュースがこの件に対して反応が遅いのかな。国内のニュースではまだ見てないけど、あんまり広く調べてないからな。

暗号鍵についても言及されてるね。

「電子署名文書」って何を意味するの?署名に使う鍵のこと?それとも、単に電子署名で署名された文書のこと?

誰か、漏洩した中にスウェーデン軍の「チームテスト」のソースコードがあるか知ってる?あのゲーム、当時友達の間でめっちゃ流行ってたんだよね。 [1] https://flashism.wordpress.com/2010/03/09/swedish-armed-forc...

最初からオープンソースにしちゃえば、漏れるものもないのにね。追記:知らない人が脆弱性を見つける手助けをしてくれることもあるし、時にはすごくうざいけど、それはオープンソースのせいじゃないから。

そうだね。こういう場合、誰かが自分のインスタンスを立ち上げて競争しようなんて思わないよ。政府のコードは社会にとって重要なものだから、ほんとに良い理由がない限りは公開されるべきだと思う。その理由が「私たちがやってることがあまり得意じゃなくて、誰にも知られたくない」なんてのはダメだよね。

ノルウェーで政府のために働いていたとき、すべてのコードがオープンで開発されるように少しずつ変わっていった。今はここに3000のリポジトリがあるよ:https://github.com/orgs/navikt/repositories 私が始めた頃は、大きなセキュリティシアターだった。例えば、外部のインターネットアクセスがない薄型クライアントで開発しなければならなかった。そしたら、素晴らしい人たちが責任者になって、すべてをモダナイズしてくれた。ただ一つの欠点は、辞めるときにすべてのサブスクリプションを解除しなきゃいけないこと、へへ。民間企業を辞めるときは、ただGitHubの組織から外されるだけだったけど、ここではまだたくさんのリポジトリやイシュー、PRにサブスクライブしてたんだ、へへ。

だからこそ、紙の文書が好きなんだよね。みんなの書類を盗むのは、電車と同じくらい重いから難しいし。

でも、火事や洪水で全部失うのも簡単だよね。いろんなトレードオフがある。

Hacker Newsで議論の続きを見る