アプリケーションセキュリティ専門企業のCheckmarxは、同社のデータがダークウェブに公開されたことが確認され、調査に直面している。このインシデントは、2026年3月23日に発生したサプライチェーン攻撃に起因し、同社のGitHubリポジトリへの不正アクセスを許したものである。同社はこの情報漏洩のリスクを軽減するために取り組んでいる。
脆弱な環:コードリポジトリが侵入口に 🔐
証拠は、サイバー犯罪者がサプライチェーンの脆弱性を悪用してCheckmarxのGitHubリポジトリにアクセスしたことを示唆している。この種の攻撃はDevOps環境では一般的であり、サードパーティ製ツールとの統合によって認証情報やトークンが露出する可能性がある。漏洩には、顧客のプロジェクトを危険にさらす可能性のあるデータが含まれている。同社は、影響を軽減するために権限を見直し、アクセスキーをローテーションすることを推奨している。
セキュリティ企業がダークウェブに載る皮肉 😅
情報漏洩に対する保護を販売する企業が、自社のデータをダークウェブに公開されてしまうのは、皮肉な点がある。まるで鍵屋がマスターキーをなくすようなものだ。Checkmarxが調査している間にも、攻撃者は既に大きな利益を得ている。興味深いのは、アクセスがサプライチェーンのバックドアを通じて達成されたことであり、これは同社が顧客に警告していることそのものである。教訓:保険を販売する側でさえ、誰も安全ではないということだ。