Postmanデータ侵害から学ぶ:APIセキュリティのギャップと解決策
目次
どうしてこんなことになったのでしょう。Postmanのデータ侵害が世界中の何千もの企業にどのような影響を与え、業界全体にどのような影響を及ぼしたのかを見ていきましょう。.
Postmanのデータ漏洩で何が起こったのですか?
ポストマン APIのテストおよび作成のためのユーザーフレンドリーなツールとして登場し、世界中の3,000万の組織で使用されています。Postmanの開発者による高い利用率が、重大な脆弱性の発見を一層憂慮すべきものにし、将来の脅威アクターによる攻撃のリスクを高めました。.
Postmanで発生したデータ侵害の件数…
- 18% GitHubに接続されていた漏洩したAPIエンドポイント。.
- 電子商取引と決済システムは~に貢献しました 3.9 全エンドポイントリークの%。.
- Dropbox APIのエンドポイントは架空のものです 合計の% は 7 件です。.
Postmanのデータ漏洩は、著名で信頼できるプラットフォーム上であっても、個人情報がどのようにアクセスされ、拡散される可能性があるかを浮き彫りにしました。.
Postmanの組み込みセキュリティの脆弱性は何ですか?
Postmanは、コラボレーションを容易かつ効果的に行うためのプラットフォームです。残念ながら、これはセキュリティ対策が不十分である可能性も意味しました。コンテンツは ポストマン・ドットコム ユーザーが公開設定をどのように構成するかによっては、一般に公開される可能性があります。そこで 機密データが漏洩する可能性があります 開発者の不注意または知識不足による.
Postmanのデータ侵害の根本原因は以下の通りです。, CloudSEKによって特定された:
- コレクションや環境の誤った共有Postmanがコラボレーションに重点を置いたことで、機密データが無差別に共有され、不正アクセスのリスクが増加しました。.
- アクセス制御の設定ミスワークスペースが「プライベート」ではなく「パブリック」に設定されることが多く、データが検索エンジンや外部ユーザーに公開されていました。.
- パブリックリポジトリとの同期GitHubのようなプラットフォームと同期されたコレクションは、マスクやサニタイズなしでは、リポジトリにアクセスできる人なら誰でも機密データにさらされる危険性がありました。.
- 平文での機密データの保存Postmanはデフォルトで、機密データを暗号化せずに平文形式で保存しており、ワークスペースにアクセスできる人は誰でも潜在的に機密性の高いデータを閲覧できていました。.
- 最小限のシークレット管理 多くのユーザーがPostmanのシークレット管理ツールを利用しないため、機密データが危険にさらされていました。.
Postmanのデータ漏洩で最も影響を受けた公開リポジトリを示す棒グラフ. ソース.
Postmanワークスペースが攻撃ベクトルとして増加しているのはなぜですか?
Postmanがセキュリティ対策なしで採用した安全でない運用により、機密データが露呈し、攻撃者に侵害された組織への侵入経路を与えてしまいました。.
攻撃がさまざまな脆弱性を利用して損害を与える方法を次に示します。
- APIキーの漏洩を活用する攻撃者はPostmanで露出したAPIキーを利用して、機密データにアクセスし、窃取することができます。.
- APIトークンの不正利用を防ぐ脅威アクターは、独自のAPIリクエストを生成することで漏洩したトークンを制御し、内部システムへのアクセスや問題の迅速なエスカレーションを可能にします。.
- 漏洩した認証情報によるユーザーのなりすまし攻撃者は、ユーザー名とパスワードなどの盗まれた認証情報を使用して、正当なユーザーになりすますことができます。.
- 企業の機密情報を盗むサイバー犯罪者は機密性の高い企業秘密を窃取し、競合他社にそのデータを販売する可能性があります。.
攻撃者はどのようにして公開されたPostmanデータを悪用したのですか?
医療顧客記録が流出した際
Postmanのデータ流出により、設定ミスがあったワークスペースが原因で、医療関連の顧客の機密情報が漏洩しました。アクティブなZendesk管理者資格情報が漏洩し、攻撃者が医療関連企業や一般大衆に損害を与える可能性が生じました。.
RazorpayのAPI認証情報が漏洩しました
オンライン決済プラットフォームであるRazorpayは、公開されたPostmanワークスペースから多くのAPIキーが誤って漏洩しました。.
APIキーはPostmanからRazorpayに安全に接続できるように設計されていましたが、保護されずに放置され、攻撃者に対して脆弱になっていました。Razorpayのユーザー名やパスワードなどのデータが漏洩し、詐欺や会社の支払いシステムの不正使用の危険にさらされました。.
大手CRMソフトウェア企業がリフレッシュトークンを漏洩しました
人気のCRMプラットフォーム リフレッシュトークンとセッショントークンシークレット、さらにAPIエンドポイントが漏洩し、攻撃者が独自のアクセストークンを生成できる状態になった。.
不正なユーザーがユーザーセッションを乗っ取り、システムに直接アクセスできるようになる可能性があります。そこから攻撃者は顧客データやその他の情報を取得し、組織から金銭を脅し取ることができます。.
ある例では、研究者たちはAPIキーが重要なクラウドリソースへの完全な管理アクセスを提供していることを発見しました。攻撃者はこのアクセスを利用して、悪意のあるコードを展開したり、機密データを窃取したり、サービスを妨害したりすることができます。.
New Relic API の認証情報が漏洩しました
New Relicはリアルタイム分析プラットフォームであり、PostmanユーザーはAPIの監視やログ記録によく利用していました。Postmanのデータ漏洩の際、New RelicのAPIキーも漏洩し、攻撃者はシステムやアプリケーションのログ、製品利用状況データ、ネットワークトラフィックデータ、ユーザー認証情報にアクセスできる可能性がありました。.
データは、内部のICTインフラストラクチャを外部に露呈させ、攻撃者が不正アクセスを行って複雑な攻撃を実行することを可能にする可能性があります。.
Postmanのデータ侵害は、あなたのビジネスにどのような影響を与えうるでしょうか?
セキュリティが不十分な場合、どのような結果になりますか?
情報漏洩に伴うリスクには、規模の大小を問わず、以下のようなものがあります。.
- 事業運営の妨げ 組織はインシデント発生後の対応に時間を取られ、生産性の低下につながります。.
- 風評被害 組織は顧客やパートナーを失うリスクを負います データ漏洩が発生した場合.
- 財政的損失攻撃は脆弱性を悪用し、金銭を恐喝したり、ランサムウェアやマルウェアを展開したり、内部システムに損害を与えたりして、収益損失につながる可能性があります。.
- フィッシング詐欺やソーシャルエンジニアリング攻撃の増加 攻撃者は、入手した正規の情報を悪用して、組織の内部へとさらに侵入することができます。 フィッシング詐欺とソーシャルエンジニアリング攻撃.
2025年のデータ漏洩防止
セキュリティファーストの考え方とは、予防策の実施と継続的な監視に焦点を当てることです。.
Postman の漏洩を防ぐ方法は次のとおりです。
- 権限を制限するコレクションと環境は、本当にアクセスが必要なユーザーのみと共有してください。定期的に権限を見直し、機密性の高い環境の組織全体での共有は避けてください。.
- 長寿命トークンの使用を最小限に抑える可能な限り短命のトークンを選択し、トークンが漏洩した場合のリスクを軽減するために、自動トークンローテーションを実装してください。.
- 共有前に確認コレクションや環境を共有する前に、変数やリクエストに保存されている機密情報がないか慎重に確認してください。.
- 外部シークレット管理を活用する機密情報の漏洩リスクを軽減するために、専用のシークレット管理ツールを使用して機密情報を安全に保存および取得してください。.
- アクセスを監査・監視するPostmanのアクティビティログを活用して、共有とアクセスを追跡します。定期的な監査は、機密データへのアクセス権を持つユーザーを特定し、損害が発生する前に疑わしいアクティビティを検出するのに役立ちます。.
攻撃以降、Postmanでは秘密情報をスキャンする機能が実装され、ユーザーが露出したデータをより良く追跡できるようになりました。しかし、スキャンされるのは公開ワークスペースのみであるため、攻撃者が既にアクセス権を持っている場合、プライベートスペースはリスクにさらされたままです。.
サイベルエンジェルの新機能はそれをどのように解決できますか?
設定ミスのあるワークスペースは、組織に壊滅的な影響を与える可能性があります。.
サイベルエンジェルは、毎日Postmanを自動監視し、情報漏洩がインシデントに発展する前に検出します。.
設定ミスをしたワークスペースは、内部プロジェクトやデータを公開するだけでなく、プレーンテキストで保存されたり、誤って共有されたりするユーザー名やパスワード、APIキーやトークンなどの機密性の高い認証情報が含まれていることが多いため、組織に壊滅的な影響を与える可能性があります。.
Postmanのようなプラットフォームでは、このような設定ミスにより、数千もの公開ワークスペースから認証情報が漏洩し、攻撃者が重要なシステムにアクセスしたり、機密データを抜き取ったり、さらには不正なトランザクションを実行したりする機会を与えています。.
CybelAngelの外部脅威インテリジェンスプラットフォームは、Postmanに関連するリスクに対処するように設計されており、Postmanに関連する脅威を防止するための組み込み機能が備わっています。さらに、, CERT対応インシデントレポート 攻撃者が被害をもたらす前に対応できるよう、侵害に関する詳細で実行可能なインテリジェンスを提供します。.
デモを予約して詳細をご確認ください。.
著者について
