ハクソク

世界を動かす技術を、日本語で。

スウェーデンの電子政府サービスのソースコードが流出しました

73日前原文(darkwebinformer.com)

概要

  • ByteToBreach によるスウェーデン電子政府プラットフォームの 全ソースコード流出 事件
  • インフラ管理元は CGI Sverige AB (CGI Groupのスウェーデン子会社)
  • ソースコードは 無料公開、市民データベース等は 別途販売
  • Jenkins完全侵害Dockerエスケープ など複数の脆弱性を悪用
  • 被害は スウェーデン政府ITサービス全般 に及ぶ重大インシデント

スウェーデンE-Govプラットフォーム ソースコード流出事件

  • 脅威アクター ByteToBreach による攻撃事例

  • 被害組織は CGI Sverige AB、スウェーデン政府のITサービス運営企業

  • 電子政府プラットフォームの全ソースコード が漏洩

  • Viking Line 事件の同一アクターによる犯行

  • 公開内容は設定ファイル断片ではなく 完全なソースコード

  • 市民PIIデータベース電子署名関連ドキュメント も窃取(別途販売)

    • スタッフデータベース
    • APIドキュメント署名システム
    • Jenkins SSHピボット認証情報
    • RCEテスト用エンドポイント
    • 初期侵入・脱獄アーティファクト

  • 複数の脆弱性 を利用した侵入経路

    • Jenkinsサーバー完全侵害
    • JenkinsユーザーがDockerグループに所属していることによる Dockerエスケープ
    • SSH秘密鍵 による横断ピボット
    • .hprofファイル 解析による内部偵察
    • SQL copy-to-program によるピボット攻撃

  • アクターは「 第三者責任論」を否定し、 CGIインフラ の責任を強調

  • Viking LineSlavia Pojistovna も同様の手口で被害

  • ソースコードは無料 で複数バックアップリンクからダウンロード可能

  • 市民データベース等は別途販売、機密性極めて高い

被害データカテゴリ

  • 電子政府プラットフォーム全ソースコード
  • スタッフデータベース
  • APIドキュメント署名システム
  • Jenkins SSHピボット認証情報
  • RCEテスト用エンドポイント
  • 初期侵入・脱獄アーティファクト
  • 市民PIIデータベース (別途販売)
  • 電子署名ドキュメント (別途販売)

事件の影響と論点

  • スウェーデン政府ITインフラ の広範な信頼失墜
  • 市民データ流出リスク の高まり
  • Jenkins/Docker連携環境 のセキュリティ課題露呈
  • サードパーティ責任論 の限界とインフラ運用企業の直接責任
  • 無料公開による二次被害拡大 の懸念

関連情報

  • Claim URL はサブスクライバー限定のThreat FeedまたはRansomware Feedで提供
  • 画像プレビュー あり(詳細は元情報参照)

Hackerたちの意見

ソースコードなんて大したことないよ!記事から引用すると、>「市民の個人情報データベースや電子署名の文書も集められているけど、別々に売られている」ってさ。

マジで、そんなの売るなんて人間として最低だよ。

そうだね、ソースコードは脆弱性を見つけるのに役立つだけで、そんなに大きな問題じゃない。個人情報は本当に恥ずかしいね。

ソースコードに焦点を当ててるせいで、スウェーデンのニュースがこの件に対して反応が遅いのかな。国内のニュースではまだ見てないけど、あんまり広く調べてないからな。

暗号鍵についても言及されてるね。

「電子署名文書」って何を意味するの?署名に使う鍵のこと?それとも、単に電子署名で署名された文書のこと?

誰か、漏洩した中にスウェーデン軍の「チームテスト」のソースコードがあるか知ってる?あのゲーム、当時友達の間でめっちゃ流行ってたんだよね。 [1] https://flashism.wordpress.com/2010/03/09/swedish-armed-forc...

最初からオープンソースにしちゃえば、漏れるものもないのにね。追記:知らない人が脆弱性を見つける手助けをしてくれることもあるし、時にはすごくうざいけど、それはオープンソースのせいじゃないから。

そうだね。こういう場合、誰かが自分のインスタンスを立ち上げて競争しようなんて思わないよ。政府のコードは社会にとって重要なものだから、ほんとに良い理由がない限りは公開されるべきだと思う。その理由が「私たちがやってることがあまり得意じゃなくて、誰にも知られたくない」なんてのはダメだよね。

ノルウェーで政府のために働いていたとき、すべてのコードがオープンで開発されるように少しずつ変わっていった。今はここに3000のリポジトリがあるよ:https://github.com/orgs/navikt/repositories 私が始めた頃は、大きなセキュリティシアターだった。例えば、外部のインターネットアクセスがない薄型クライアントで開発しなければならなかった。そしたら、素晴らしい人たちが責任者になって、すべてをモダナイズしてくれた。ただ一つの欠点は、辞めるときにすべてのサブスクリプションを解除しなきゃいけないこと、へへ。民間企業を辞めるときは、ただGitHubの組織から外されるだけだったけど、ここではまだたくさんのリポジトリやイシュー、PRにサブスクライブしてたんだ、へへ。

だからこそ、紙の文書が好きなんだよね。みんなの書類を盗むのは、電車と同じくらい重いから難しいし。

でも、火事や洪水で全部失うのも簡単だよね。いろんなトレードオフがある。

簡単で古臭い、でもちゃんと機能するものを支持して当選した政治家なんていないよ。

私はスウェーデンの市民です。ここに住んで40年近くになります。「スウェーデンの電子政府プラットフォーム」が何なのか、ちょっとよくわからないです。せめて、サービスのドメイン名を公開してくれたら良かったのに。

skatteverket.se、polisen.se、kronofogden.seが漏洩の影響を受けていると思います。

特に何もないけど、私の理解では、CGIっていうスウェーデンのITコンサルタント会社がハッキングされたみたい。彼らは政府のいろんな部門のITサービスの契約を持っていて、メンテナンスや開発もしてるんだよね。

特定のサービスや機関がドメイン名を持っているわけじゃなくて、内部で従業員だけが使うサービスか、他のシステムに統合されていて、知らず知らずのうちにやり取りしているものになると思うよ。

スウェーデン税務署のITディレクター、ペダー・ショーランダーによると、そんなものは存在しないらしいよ。「私たちのデータもユーザーのデータも漏洩していません。影響を受けたのは電子署名用のサービスですが、私たちのデータやユーザーのデータはそこにはありません」と言ってる。「共同政府の電子プラットフォームからソースコードが漏れたという情報は真実ではありません。そんなプラットフォームは存在しません。犯人たちは人々に不安を感じさせたいんだと思います。私たちはデータが安全だと自信を持っていて、来週の確定申告期間が始まる前に状況をコントロールしています。」

ヨーロッパでは、こういう大手IT企業がひどい開発手法を使っているのが何度も暴露されてますよね。スウェーデンでも、最近2024年に大手ITサービス会社のTietoEvryがデータセンターをハッキングされて、「実際にはセキュリティの問題じゃない」と言ってました。いくつかの政府機関や地域の自治体、企業がダウンして、最後に聞いた話では、いくつかの自治体の医療記録が全部消えちゃったみたいです。残念ながら、公共入札プロセスは、基本的な運用セキュリティすら守れないこういう巨人たちに契約を与えることを助長していて、セキュリティは隠すことだと信じているし、ゼロトラストみたいな考え方には疑念を持っていて、古いエンジニアリングのやり方に従っているんですよね。ため息。

入札プロセスに最適化されているんだよね。彼らはプロのプロジェクト入札者で、ちょっとしたアウトソースのソフトウェア開発が付いている感じ。

残念ながら、公共入札プロセスは、基本的な運用セキュリティすら守れないこういう巨人たちに契約を与えることを助長していて じゃあ、あなたが考える解決策は何ですか?私が見る限り(公共入札に限らず)、私は「大規模なITプロジェクトや企業はセキュリティ問題に悩まされる」と主張します。だから、明らかな代替手段がないのに、プロセス(入札)や地域(ヨーロッパ)を特定することにどんな価値があるのか、よくわからないです。

ここでの問題は、セキュリティ要件が比較的曖昧で、顧客が受け入れにサインした後は運が必要ってことだよね。大企業と契約するのは、自分の身を守る良い方法だよ。「もし彼らが全ての人や知識を持っていてもできなかったなら…」って感じで。基本的に「シスコを買ったことで誰も解雇されたことはない」っていうマントラだね。

スウェーデンのニュースでは、当局の引用として「価値のある情報は漏れていない」とか、サービスのCGIから「テストサーバーに関することだけ」との引用が出てます。[1][2] [1]: https://www.svt.se/nyheter/inrikes/uppgift-statlig-it-inform... [2]: https://www.cgi.com/se/sv/news/cybersakerhet/cgi-informerar-...

スウェーデン人としてこれはゾッとする。発言からは、基本的なリスクを理解していない書類仕事や認証を追い求める人たちの匂いがする。脅威のある人たちが足場を築いた後にどう動くかを理解していないみたいだ。もっと有能な人たちが現場にいることを願うよ。

ポジティブな変更をコードにして提出してもいいのかな?

この特定の漏洩については何も知らないけど、スカッテヴェルケットで働いたことはあるよ。言っとくけど、CGIが実際の個人データを持っている可能性はほぼ0%だよ、少なくともスカッテヴェルケットの外のサーバーではね。内部で働いていても、何にもアクセスできなかったから。こんなに閉鎖的なシステムで働いたことはないかも、スウェーデン軍の「複合体」を除いてはね。いや、実際にはあっちの方が少しはオープンだったかな、少なくとも「内部」に入ったら。

税金で賄われているものは、最初からオープンソースであるべきだよね。

https://publiccode.eu

同様に、あらゆる種類のインフラに対する納税者資金による契約(明らかに独自のソリューションによるデジタルインフラを考えている)も、ロックインや悪用を防ぐために相互運用性が保証される場合にのみ授与されるべきだと思う。

さて、スウェーデン以外の人たちに重要な背景情報を。誰でもSPARと契約を結ぶだけで、スウェーデンの個人識別番号(保護されていないものだけど、ほんとにほんの一部)にアクセスできるんだ。識別番号自体は特に役に立つわけでもないし、入手も難しくない、実質的には公開情報なんだよ。SPARを使えば、個人の自宅(や他の追加の)住所も取得できるし、スウェーデンの市民データベースは…まあ、楽しいよ。でも、手に入れるのはそんなに難しくないんだ。[1] https://www.statenspersonadressregister.se/master/start/engl...

SPARと契約を結ぶだけで でも、それは悪意のある匿名の人やグループがデータベース全体にアクセスすることとは全然違うことのように思えるね。

スカンジナビア以外の人にとっては、これを強調するのがいいと思う。スカンジナビアの国々は、アメリカ人には衝撃的に感じるほどオープンで透明性が高いんだよね。例えば、ノルウェーでは、ほとんど誰の証券口座の保有状況や住所、電話番号なんかを公のウェブサイトでチェックできるんだ。理論的には、誰の税務申告も調べられる。個人識別番号は、アメリカの社会保障番号のようにプライベートなものとは考えられていないことが多い。

識別番号自体は特に役に立つわけでもなく、取得が難しいわけでもない。実質的には公の情報なんだ。取得するのはめちゃくちゃ簡単。mrkoll.seでワンクリックでできるよ。

それは面白いかもしれないけど、実際には個人情報は漏洩してないから完全に関係ないよ。それに、「スウェーデンの電子政府サービス」のソースコードも漏洩してないから、そもそもそんなものは存在しないんだよね。

CGIには政府や地方自治体でたくさんのコンサルタントがいるよ(俺も両方で働いたことある)。それに、時間報告みたいな主要なツールは、CGIのコンサルタントが人事システムにアドオンとして作ったものなんだ。俺のチームの半分はCGIのコンサルタントで、7人中4人がそうだよ。あと、タヴロ!久しぶりだね、元気にしてた? :D