送信データに対する暗号化の必要性から、法人組織はTLSを頼りにするようになっています。これはインターネットを介してデータを送信する場合だけでなく、信頼された企業環境の中でも言えることです。TLSやSSLを使用しない場合、送信されたデータの真正性とエンドポイントのアイデンティティを検証することはできません。
本ブログ記事では、構成が不適切なAzure DevOps Server 2020に対するサプライチェーン攻撃について解説します。特に、継続的インテグレーション/継続的デリバリ(CI/CD)パイプラインエージェントがTLSを使用せず通信する場合の技術的な詳細を説明します。本ブログの公開に先立ち、トレンドマイクロはMicrosoft社に連絡を取っており、サプライチェーン攻撃のリスクを軽減するために同社が推奨するベストプラクティスについてもご紹介します。
続きを読む