連休はいかがお過ごしでしたでしょうか?
天気にも恵まれず、、とは言え、1日中アウトドアで過ごしたりして、、ブログはお休みしておりましたw
さて、その間になにがおこったかというと、大きなニュースが入っていましたね。
Source code from dozens of companies leaked online
さらされた企業
Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Hisilicon (owned by Huawei), Mediatek, GE Appliances, Nintendo, Roblox, Disney, Johnson Controls;
マイクロソフト、アドビ、任天堂が入っています。
比較的ハードウエアベンダーが多いですかね?
Tillie Kottomannというソフト開発、リバースエンジニアの方がネットに上がっていることを見つけました。
GitLab上で、
“exconfidential”
もしくは
“Confidential & Proprietary,”
でリポジトリが登録されています。
実際に上がっているコードは、公開情報であったり、かなり古いコードもあります。
価値がどこまであるかは見えませんが、記事でも主張していますが、DevOpsツール(SonorQube)の設定がセキュアではないことが一番の原因であると。
前回記事にしましたがDevOpsないし、クラウド上でのインスタンスの置き方の設定を誤ると、簡単に情報をさらしてしまうことになります。
ほかにも任天堂のソースコードがリークされた記事もありますね。
マリオブラザース、ゼルダの伝説、ポケモンとか。。。
開発コードは、完成品ではないので、そのままでは使えないと考えてはいけません。
攻撃する側にはメリットがあります。
完成したコードではなくても、分析をすれば、脆弱性のヒントが隠されている可能性があります。完成コードではFixされているかもしれませんが、していないかもしれません。攻撃をトライするでしょう。
もうひとつは、セキュアではないDevOpsツールに入り込み、ソースコードにマルウエアを組み込ませることが可能となります。
そのままマルウエアが仕込まれたまま、完成コードとしてリリースされた場合、影響は大きなものとなるでしょう。
最初からバックドアを仕掛けられてデータを盗まれたり、攻撃者の手先となってしまうかもしれません。