Secret information transmitted over the network

ネットワーク経由で送信される機密情報

Risk: potentially

説明

アプリケーションが、SSH キー、プライベート証明書、プライベート API キーなどの機密の資格情報をネットワーク経由で送信していることが検出されました。

シークレットは、リスクプロファイルの異なる 2 つのカテゴリに分けることができます。

• 過剰請求: Google Maps などのサービスへのアクセスを許可し、リクエスト数に応じて課金される API キーに影響します。攻撃者はキーを収集して、ターゲットがサービスの料金を支払っている間に無料でサービスにアクセスします。

• 不正アクセス: S3 バケットなどのサービスへのアクセスを許可するキー、シークレット、およびトークンに影響します。サービスが不適切に構成されている場合、攻撃者は不正なデータにアクセスしたり、他のサービスを通じて権限を昇格させたりする可能性があります。

推奨事項

ハードコードされた、または漏洩したシークレットに関連するリスクを緩和するには、以下を検討してください。

• トークン化または認証メカニズムの採用: 生の資格情報を送信する代わりに、API にアクセスするための OAuth や JWT（JSON Web Tokens）などのトークン化または認証メカニズムの実装を検討してください。これにより、送信中に機密の資格情報が公開されるリスクが軽減されます。
• 安全な送信プロトコルの実装: 送信中の資格情報の盗聴および傍受を防ぐために、機密の資格情報を送信するすべての通信が TLS（Transport Layer Security）などの安全なプロトコルを使用して暗号化されていることを確認してください。
• 資格情報の定期的なローテーション: 資格情報ローテーションポリシーを実装して、API キー、トークン、およびその他の機密の資格情報を定期的にローテーションします。これにより、送信中に資格情報を傍受した可能性のある攻撃者の機会の窓が最小限に抑えられます。

リンク

• CWE-200: Data Exposure
• What Is AWS Secrets Manager?

標準

• PCI_STANDARDS:
  • REQ_1_2
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213