Google Cloud がオープンソースの認証情報を大規模に保護
Eve Martin-Jones
Software Engineer
Yuanchen Li
Software Engineer
※この投稿は米国時間 2025 年 6 月 17 日に、Google Cloud blog に投稿されたものの抄訳です。
システム、アプリケーション、データへの特権アクセスを付与するために使用される認証情報は、最新のソフトウェア開発とデプロイに不可欠な要素です。しかし、認証情報に関連する脆弱性は、クラウドを標的とする脅威アクターにとって、依然として格好のエントリー ポイントとなっています。
Mandiant Consulting のバイス プレジデントである Jurgen Kutscher は、自身がまとめた M-Trends 2025 レポートの要約において、認証情報の盗難は「初期感染ベクトルとして 2 番目に多く、Mandiant の調査対象全体の 16% を占めている」と述べています。
認証情報を安全に管理することは、非常に重要なタスクです。認証情報は、デベロッパーの意図なしに、ソースコード、ビルドされたソフトウェア パッケージ、Docker イメージなどのアーティファクトに誤って含まれてしまうことがあります。こうした認証情報が悪意のある行為者の手に渡ると、データの引き出し、クリプトジャッキング、ランサムウェア攻撃、リソースの不正使用などにつながる可能性があります。
認証情報の保護は、オープンソース デベロッパーにとって特に重要です。なぜなら、認証情報を誤ってアーティファクトに含めてしまい、それが GitHub、PyPI、DockerHub などの公開リポジトリに push されると、インターネット上の誰もがその認証情報を利用できるようになるからです。
この重大な問題に対処するため、Google Cloud は、オープンソースのパッケージやイメージ ファイルをデフォルトでスキャンし、Google Cloud の認証情報の漏洩を検出する強力なツールを開発しました。このツールを使用することで、オープンソース アーティファクトを公開する Google Cloud のお客様を保護できます。Google の deps.dev チームと Google Cloud の認証情報保護チームが共同で作成したこのツールは、過去のアーティファクトで漏洩した認証情報(API キー、サービス アカウント キー、OAuth クライアント シークレットなど)の検出と報告において、すでに大きな成果を上げています。
現在は、Google Cloud の認証情報のみを対象としていますが、今年中には機能を拡張し、サードパーティの認証情報もスキャン対象にする予定です。
このツールは、過去について報告するだけでなく、新たに公開されるオープンソース アーティファクトもスキャンして認証情報の漏洩を検出できます。この重要な進歩により、差し迫ったセキュリティ侵害の脅威に対する修復作業を推進し、デベロッパーのミスによるセキュリティ侵害のリスクを大幅に軽減できます。
また、セキュリティ対策を開発ライフサイクルの早い段階に効果的にシフトすることで、問題を解決しやすくなり、セキュリティ強化の文化を育むこともできます。このツールを使用することで、シフトレフトと早期のセキュリティ意識の向上が促進され、オープンソース コミュニティにおける認証情報の管理が改善されます。最終的には、ソフトウェア サプライ チェーン全体のレジリエンスとセキュリティを強化できます。
クラウドの認証情報の漏洩の危険性を理解する
クラウドの認証情報が漏洩すると、第三者がそのユーザーのクラウド環境(リソース、アプリケーション、管理対象のユーザーデータなど)にアクセスできるようになるため、クラウドのユーザーにとって重大なセキュリティ リスクが生じます。悪意のある行為者によってアクセス権を悪用されると、データ窃取、クリプトジャッキング、ランサムウェア攻撃、リソースの不正利用などが行われ、財務、評判、運用に深刻な損害が生じる可能性があります。
認証情報は簡単にコピーや共有が可能なため、悪意のある行為者に認証情報が渡った場合、その認証情報は永久に不正利用されるとみなすべきです。
オープンソース デベロッパーは、共同作業のエコシステムに貢献する一方で、機密性の高い認証情報を誤って公開してしまうリスクに直面しています。GitHub や GitLab などのソースコード リポジトリ ホストでは、一般公開されているソースコード(および場合によってはパッケージ リポジトリ)をスキャンして、認証情報の漏洩を検出していますが、課題はソースコードだけにとどまりません。
ビルド済みパッケージや Docker イメージには、多くの場合、構成、コンパイル済みバイナリ、ビルドスクリプトなどが含まれており、これらはすべて認証情報の漏洩源となる可能性があります。こうしたアーティファクトが Maven Central、PyPI、DockerHub などのオープンソース リポジトリに公開されると、認証情報が漏洩する可能性があり、あらゆるインターネット ユーザーに悪用される危険性が高まります。オープンソース アーティファクトの共有や配布は容易かつ迅速であるため、被害の可能性が拡大します。そのため、強力な認証情報管理と、漏洩の積極的な検出と修復が不可欠です。
オープンソース コードから認証情報を検出する方法
deps.dev チームは、デベロッパーがオープンソース ソフトウェアの構造、構築、セキュリティをより深く理解できるようにするサービスを提供しています。チームでは、ソースコード リポジトリ、ソフトウェア パッケージ、Docker コンテナなど、数億個のオープンソース ソフトウェア アーティファクトにわたって、50 億を超える一意のファイルの継続的に更新されるコーパスを維持および分析しています。
このコーパスをサポートするパイプラインは、さまざまなオープンソース リポジトリから数億ものパブリック アーティファクトを自動的に取り込みます。これには、パッケージ マネージャー(npm、Maven Central、PyPI など)、ソースコード リポジトリ ホスト(GitHub、GitLab など)、Docker イメージが含まれます。
アーティファクトが取り込まれると、包括的な分解プロセスを経て、すべての構成要素が抽出されます。つまり、最終的なイメージ ファイル システム内のファイルだけでなく、Git リポジトリのすべての commit に含まれるすべてのファイル、ソフトウェア パッケージ内のすべてのアーカイブ解除済み / 解凍済みファイル、Docker イメージの個々のレイヤに含まれるすべてのファイルが抽出されます。その後、これらのファイルは分析され、Google Cloud の認証情報の漏洩を検出するスキャンも行われます。
Google Cloud の認証情報と疑われるファイルが検出されると、認証情報レポート バックエンドが認証情報保護プログラムにすぐにアラートを送信します。このシステムの導入以来、漏洩した認証情報は、公開から数分以内に検出、修復されています。このスピードは、悪意のある行為者がその認証情報を悪用するスピードと同等か、それ以上です。
認証情報の封じ込めと復旧
Google では、認証済みの Google Cloud ユーザーやセキュリティ研究者が、漏洩の疑いがある認証情報を提出して審査を受けられるウェブ エンドポイントを設定しています。提出者の身元が確認されると、報告された認証情報の有効性が Google Cloud の認証情報保護システムによって確認されます。認証情報が有効であることが確認されると、メール、テレメトリー ログ、プロダクト内のアラートなど、複数の方法で Google Cloud からユーザーに即座に通知が行われます。
また、ユーザーが自ら構成できるポリシーに従って、潜在的な被害を軽減するための自動修復措置(影響を受けるサービス アカウント キーを無効にするなど)が Google Cloud によって実施される場合があります。
次のステップ
Google は、認証情報の漏洩に対して予防的なアプローチをとることで、オープンソース コミュニティのセキュリティの強化と、Google Cloud のお客様の保護に積極的に取り組んでいます。この分野における Google の取り組みには、以下のような重要なイニシアチブが含まれています。
-
認証情報のスキャン範囲の拡大: このツールでスキャンできる認証情報の種類を拡大し、より多くの組織やデベロッパーを保護できるようにします。
-
オープンソースの対象範囲の拡大: スキャン対象のオープンソース プラットフォームやリポジトリを拡大することで、認証情報の漏洩をより多く検出できるようにします。これにより、エコシステム全体のリスクを軽減できます。
-
オープンソース コミュニティを支援する予防策: Google は、オープンソース コミュニティが認証情報の漏洩チェックをパブリッシュ ワークフローに直接統合できるツールを開発、提供しています。これにより、認証情報の漏洩を未然に防ぐことができます。
Google は、検出と予防の両方に重点を置くことで、セキュリティとレジリエンスに優れたオープンソース環境を促進することを目指しています。Google Cloud の認証情報の漏洩を報告するには、gcp-credentials-reports@google.com までご連絡ください。また、認証情報プロバイダのお客様で、認証情報のスキャンに関するパートナーシップについてご相談をご希望の場合は、depsdev@google.com までお問い合わせください。
-ソフトウェア エンジニア、Eve Martin-Jones
-ソフトウェア エンジニア、Yuanchen Li
