ファイルホスティングサービスとして絶大な人気を誇るDropboxがハッキングされた。少なくとも、Dropboxのセキュリティチームが11月1日に投稿した記事から、そう考えてもおかしくはないだろう。
投稿でDropboxのセキュリティチームは、攻撃者が実際にDropboxのソースコードにアクセスしたことを認めている。だが、これらのコードはGitHub(ギットハブ)上の130のコードリポジトリに含まれていたものだ。
DropboxのGitHubコードリポジトリのセキュリティは、どのようにして破られたのか?
多くの組織と同様に、DropboxもGitHubを使用して複数のプライベートリポジトリを保存・管理している。10月初旬、Dropboxのセキュリティチームが、社員を狙ったらしいフィッシング作戦に気づいた。このフィッシングメールは、Dropboxが特定の内部コード展開に使用しているコード統合・配信プラットフォーム「CircleCI(サークルCI)」を発信元とするものと言われている。投稿では「私たちのシステムは、これらの電子メールの一部は自動的に隔離できましたが、Dropbox従業員の受信トレイに到達したものもありました」と報告されている。
これらのメールはリアルな外観のテンプレートを使用し、CircleCIのログインページと思われる場所に受信者を誘導し、そこでGitHubアカウントの認証情報を入力するように指示していた。このケースでは、ワンタイムパスワードを生成するハードウェア認証システムによって保護されていたが、攻撃者は最終的にそこをすり抜けて「当社のGitHubアカウントの1つにアクセスし、130個のコードリポジトリをコピーすることに成功しました」とセキュリティチームは認めている。
