Codecovの脆弱性に対するTwilioの対応
読む所要時間: 5 分
Twilioでは、自社製品とお客様のデータの安全性が何よりも重要であると考えており、この安全性を脅かす可能性のあるインシデントが発生した際には至急、かつ速やかに報告を行うことにしています。これを受け、先日明らかになったCodecovの脆弱性によるTwilioへの影響と対応状況について、概要をお伝えいたします。
事象の内容
2021年4月15日、Codecovがセキュリティ事象を公表しました。その内容は、攻撃者がBash Uploaderコンポーネントを改ざんし、継続的インテグレーション(CI)のパイプライン環境に保存された情報のエクスポートを可能にしたというものでした。TwilioはCodecovからこの事象の発生報告を受け、直ちに自社のセキュリティインシデント対応プロセスを開始しました。Twilioでは、Bash Uploaderコンポーネントを含むCodecovツールを使用していますが、該当するプロジェクトやCIパイプラインはごく少数です。また、該当するプロジェクトやCIパイプラインは、TwilioのコミュニケーションAPIに対するアップデートや機能の提供におけるクリティカルパスには含まれていません。
続いて実施した今回の影響調査の結果、何者かがごく少数のメールアドレスを抜き出した可能性が高いことが判明しました。Twilioでは、この影響を受けた方々に個別に報告するとともに、晒された可能性のある認証情報の徹底的な再調査とローテーション(変更)を行い、さらなる流出の可能性を防ぐための修正を行いました。
Twilioの具体的対応
事象の把握後すぐに、晒された可能性のある認証情報や機密情報を特定し、ローテーション(変更)しました。これにより、Twilioの環境への不正アクセスは不可能となりました。さらに、対象の認証情報の範囲を調査し、当該情報が悪用されていないことを現状調査で可能な限りにおいて確認しました。
2021年4月22日には、GitHub.comより、Codecov事象および晒された可能性のあるTwilioのユーザートークンに関連する、不審なアクティビティが検出されたとの通知を受けました。GitHub.comが特定していた一連のGitHubのリポジトリは、TwilioがCodecovからの報告を受ける前に攻撃者がクローン(複製)していたものです。この時点から、Twilioでは調査の対象を、機密情報の特定から複製されたリポジトリの内容の特定へと切り替えました。
Twilioとしては、晒された可能性があるすべての範囲を確実に把握すべきと考え、リポジトリに対する徹底的な調査を実施しました。その中から、ごく少数のTwilioのお客様のメールアドレスが浮上しました。現時点では、それ以外のお客様情報へのアクセスを示す証拠はなく、その他のリポジトリが攻撃者に改ざんされた形跡も確認されていません。
さらに、自動スキャンを実施してTwilioのリポジトリ内の機密情報を検出し、手作業によるレビューにより結果を検証しました。この作業で、晒された可能性のあるリポジトリ内のすべての機密情報をローテーションする対処を行ってあります。
同様の問題を防止するための今後の取り組み
今回のようなサプライチェーンリスク(=他社製ツール等の利用からのリスク)からTwilioを守るために、強力なセキュリティチームにより、新規外部ベンダーと既存外部ベンダーの評価を行います。このプロセスにより、Twilioのテクノロジーサプライチェーンが常に、自社のセキュリティ基準に合致した状態を確保します。サプライチェーン内のインシデントや脆弱性を把握した際には、直ちに問題の修正にあたり、場合によっては対象のソフトウェアを社内環境から除去します。
さらに、今回のサプライチェーン攻撃を原因とする機密情報侵害の問題は防げませんでしたが、不注意による情報漏洩の防止を目的とした内部サービスを稼働させています。Deadshotと呼ばれるこのサービスは、GitHubのプルリクエスト(*1)をスキャンするものです。Deadshotはプルリクエストをリアルタイムでスキャンし、GitHubにマージされている最中のコード内の、機密情報やその他の一般的に非セキュアなコードのパターンを特定します。非セキュアなコードが検出された場合、そのプルリクエストの実行者に通知します。特定の種類の機密情報が検出された場合は、Twilioの製品セキュリティチームに通知します。これにより開発者は立ち止まり、GitHubにマージする前に、コードの削除や変更を行うことができます。
(*1: コードの変更をレビューし、マスターコードにマージするリクエスト)
弊社製品セキュリティチームは、継続的に、自社の製品開発環境内のツール整備も行い、静的アプリケーションセキュリティテストを実施しています。このツール整備では、コード内の機密情報のほか、安全でないコード実行などのセキュリティ問題や、OWASP Top 10に掲載されるような脆弱性もスキャンします。このようにして、万一、Twilioのコードが含まれたGitHubリポジトリへの不正アクセスが発生した場合でも、そうした不正行為により引き起こされるさらなる被害を封じ込めます。
前述いたしましたように、現時点では、ごく少数のメールアドレスを除き、いかなる顧客データについても、アクセスされた形跡もリスクに晒されている兆候もありません。また、どのTwilio製品についても、そのサービス利用や機能に関する問題の発生も、発生の兆候もありません。状況が変化した際には、Twilioセキュリティインシデント対応チームから、本ブログで最新情報をお知らせいたします。さらにご質問がある場合は、お手数ではございますが、担当のカスタマーサポート部門までお問い合わせください。