▶ VIDEO Security Weekly - A CRA Resource

CI パイプラインが攻撃の入口となる

CI/CD パイプラインが侵害されると、攻撃者がワークフローを改変または固定された依存関係を迂回した瞬間、リモートコード実行のベクトルへと変貌します。本稿の要点は、CI/CD システムが実質的に第三者ランナー上で任意の bash スクリプトを実行する YAML ファイルとして機能しており、OpenID Connect や vault を通じて注入された機密情報が含まれているケースが頻繁にあるという点です。コードがメモリ上で実行されると、攻撃者はそのメモリをダンプしてピボットし、システム全体を完全に掌握します。この結果、ワークフローの改変に対してセキュリティの固定化(pinning)は無力化され、ビルドプロセスそのものがシステム全体を乗っ取るための直接的な侵入経路へと転換してしまいます。

▶ VIDEO Black Hat

Black Hat Europe 2025 | 数百万のイントラネット機器が静かなる乗っ取りの危機に (オンデマンド限定)

南京郵電大学の研究者と独立セキュリティ専門家ニック・シエ氏は、パブリックIPの公開を必要とせず、数百万のイントラネット機器を静かに乗っ取る新たな攻撃モデルを特定しました。この手法は、クラウドベースの管理チャネルとMQTT、HTTPS、TCP/UDPなどのプロトコルにおける認証の欠陥を悪用し、従来のセキュリティパッチを迂回して、電源とネットワークケーブルのみで接続された機器へのリモートコントロールを奪取します。攻撃は、メーカーがシリアル番号の検証やトピックワイルドカードの制限を怠りがちな初期の機器登録フェーズを標的としており、攻撃者が管理コマンドを偽造しセッションを乗っ取ることを可能にします。この発見は、クラウド管理への広範な依存が現在のパッチ適用戦略で見落とされている体系的な脆弱性を生み出していることを示しており、家庭用および企業用IoTエコシステムの双方に影響を及ぼしています。