ハクソク

世界を動かす技術を、日本語で。

CISAがデータ漏洩の抑制に努める

3日前原文(krebsonsecurity.com)

概要

CISAの契約業者がAWS GovCloudキーなどの機密情報をGitHubで公開 議会がCISAの対応や内部管理体制について厳しく追及 公開された情報の影響範囲や対応の遅れが指摘 技術的な対策だけでは防げない「人的問題」も浮き彫り CISAは現在も流出した認証情報の無効化作業中

CISA契約業者による機密情報流出事件

  • CISAの契約業者が AWS GovCloudキー や多数の機密情報を GitHubの公開リポジトリ に掲載
  • 「Private-CISA」という GitHubアカウント を作成し、CISA内部システムの認証情報を平文で公開
  • GitHubの 機密情報公開防止機能 を意図的に無効化
  • 公開リポジトリは 作業用メモや同期用途 として使われていた形跡
  • 議会が CISAの管理体制や内部手続き に重大な懸念を表明

議会・専門家からの批判と懸念

  • Sen. Maggie Hassan(D-NH)がCISA長官代理に 12項目の質問状 を送付
  • CISA内部の 人員流出や組織再編 の混乱も背景
  • Rep. Bennie Thompson(D-MS)も セキュリティ文化の低下契約業者管理の不備 を指摘
    • 「Private-CISA」リポジトリが 攻撃者にとっての設計図 となる危険性
  • GitGuardianの通知から 1週間以上経過後も、CISAは認証情報の無効化作業を継続中

技術的・人的課題

  • TruffleHog開発者Dylan Ayreyが RSA秘密鍵の未無効化 を指摘
    • この鍵により 全リポジトリへのアクセスやCI/CDパイプラインの乗っ取り が可能
    • 通知後にRSA鍵は無効化されたが、他の重要認証情報の ローテーション未完了
  • Truffle Securityは GitHub等の公開コミットを常時監視 し、流出を検知・通知
    • 攻撃者も 公開コミットのリアルタイム監視 を行い、流出情報を即座に悪用
  • 2026年4月末に 最も重大な情報流出 が発生した可能性

技術的制御の限界と人的要因

  • GitHubには 機密情報公開防止の全社ポリシー 設定が可能
  • しかし、 個人アカウントでの情報持ち出し は技術的制御では防げない
    • 「人的問題」であり、 契約業者の独断的行動 が根本原因
    • CISAの管理外での行為には 技術的な可視化や制御の限界

CISAの対応状況と今後の課題

  • CISAは「 流出認証情報の無効化と関係各所との連携 を進行中」と発表
  • 依然として 全認証情報のローテーション未完了
  • 今後は 人的リスク管理や契約業者への教育・監督強化 が重要課題
  • 米国重要インフラのサイバーセキュリティ体制見直しの必要性

Hackerたちの意見

「結局、これは技術的な管理で解決できる問題じゃない」とボワローは今週のポッドキャストで言った。「これは人間の問題で、契約者を雇ってその作業をしてもらっているのに、彼らが自分の判断で作業用のマシンから自宅のマシンにコンテンツを同期するためにGitHubを使うことに決めたんだ。CISAが管理しているものや、目に見える範囲外で行われていることを考えると、どんな技術的な管理を導入できるのか分からない。」もっと適切な技術的管理があれば、ランダムな契約者が2025年の中頃までのパスワードを自宅のマシンにコピーすることはできなかっただろうし、30日後、いや5日後でも使えないはずだ。

これだ。実際、政府はずっと前からスマートカードやHSMを使うことに真剣になっていると思ってたんだけど? 誰にもアクセス可能なクレデンシャルを持ち出させるのではなく、使えるけどクレデンシャルを取り外せないハードウェアを配布すればいいじゃん。もちろん、組織によっては追加コストが懸念されるかもしれないけど、ここではそうじゃないだろう。もしかしたら、これは共和党が昨年CISAを削減する前に行われていたプロジェクトや基準の一種だったのかもしれないし、これはただの腐敗の別の症状なのかな? でも、確かに技術はこういうことに役立つことができるよね。これは自然の必然的な行為じゃない。

私は国家機密には関わってないけど、クライアントにとって敏感で価値のあるデータにはアクセスできる。何かを直接自分のデバイスにダウンロードするなんて考えられないよ。「aws s3 cp s3://client/file - | less」みたいなログファイルをダウンロードするのも好きじゃない。むしろ安いインスタンスを立ち上げて、彼らのVPC内でデータを見る方がいいな。

なんてひどいミスなんだ。「個々のオペレーターがリポジトリを作業用のスcratchpadや同期メカニズムとして使っていることと一致するパターンを示している」って、ギットにクレデンシャルを入れないのは基本中の基本じゃないの? 彼らはどんなパターンだと思ってるんだ?

彼らはそれを確立されたワークフローパターンやベストプラクティスとして擁護しているわけじゃない。「...と一致するパターンを示している」という表現は、単にリポジトリがどのように使われていたかを説明しているだけだ。つまり、内部プロジェクトのための政府のソースコードではなく、大量のデータを意図的に漏らすことを示すものでもない。

彼らはどんなパターンだと思ってるんだ? 彼らはこの使用がどんなパターンと一致しているかを明確に述べているよ:それを個人的なスcratchpadとして使っているってこと。君はその発言に過剰な意味を与えているだけだ。彼らは単に観察を述べているに過ぎない。

公共のリポジトリに秘密がどれだけ放り込まれているか、1ドルもらえたら多分引退できるわ。いや、それは言い訳じゃないけど。アメリカ政府が私たちと同じ人間で構成されてるってことを無視するのはちょっとおかしいよね。

専門家を排除すると、オペレーションセキュリティの能力が低下するのは明らかだよね。2020年、クリス・クレブスは盗まれた選挙の主張に反論した。2025年、トランプはクレブスを解雇し、彼のクリアランスを取り消した。これでCISAはディレクター不在に。2025年3月、予算削減が始まった。2026年にはまだディレクターがいなくて、運営が厳しくなってた。この活動は、国の防衛を内部から意図的に弱体化させ、混乱を撒き散らすことと一致している。

外国の敵が担当していたら、違いが分かるだろうか?

クレブスは2020年に解雇されたんだよ、2025年じゃない。

正直言って、これは攻撃的な無能さと忠誠心に基づく雇用・解雇と直接的に一致してるよね。関連するバカたちがどうやって雇ったり解雇したりする権限を持つようになったのかは、もっと複雑な問題だと思うけど…。

公共交通機関の劣化を思い出すね。資金を減らすと、サービスレベルが下がり、ネガティブな感情が続く。最終的には、そういう道がセキュリティ契約者を通じた民営化の増加につながるかもしれない。

クレデンシャルを漏らしたのはセキュリティ契約者だったんだ。これで民営化が進んでるってことがもう明らかだね。

トランプ政権が一連の早期退職や買収、辞任を強要した結果、CISAは職員の3分の1以上とほぼ全ての上級リーダーを失った。

政治家たちは答えを求めるけど、自分たちは答えを出さない。いわゆる監視者を誰が監視してるの?政治家たちによる大規模な腐敗があるけど、重要な情報が公開されると、首が飛ぶの?賢い人たちが間違って情報を公開することなんてよくあるよ。rm -rf *を実行したことある?本番のデータベースを壊したことある?間違ったサーバーの電源を切ったことある?あるよね。

彼らの監視は、ケアじゃなくてコントロールのためだよ。実際は隠れた敵対的なもので、「ケア」は正当化のための言い訳に過ぎない。

上院議員たちはCISAが選挙のセキュリティに関する取り組みを縮小している理由について質問していたみたいだね。タルシの辞任がこれが公になったタイミングと面白いことに重なってる。

アメリカの上院議員たちがこんなことで騒いでる理由が分からない。トランプは予算を出したときに、CISAの予算を大幅に削減したいってはっきり言ってたし、CISAに選挙セキュリティオフィスを閉鎖するように指示もしてた。この状況は「ハンニバルを殺したのは誰?」っていうミームと同じだよ。パディーラとワーナーがこれを知らなかったなら、自分たちが無能ってことだよ。特に去年報道してたのにね。https://www.padilla.senate.gov/newsroom/news-coverage/cnn-tr... なんでこれを忘れたの、パディーラ?

SF-86が100万件も流出したのを覚えてるよ。あれって、私たちが個人情報をたくさん書くフォームで、信頼できるかどうかを判断するためのやつね。

あれは漏洩じゃなくて、侵害だよ(中国の国家安全保障によるもの)。

それってCISAじゃなくてOPMじゃなかった?

専門家たちがネット上で本当に安全じゃないなら、他の誰が安全になれるのか全く分からないよね。

これはポスト・ドージだね。ドージはうまくやったけど、残念ながら他の人たちがドージの嘘をそのまま真似しちゃった。

ここでの本当の問題は、流出したAWS GovCloudのキーだけじゃなくて、契約者が手動でGitHubの秘密スキャン保護を無効にしたことだよ。