開発者の Joe Moreno 氏は通常、Amazon Web Services(AWS)クラウドサービスの使用料金として5ドル程度の請求書を受け取る。だが、4月の請求は5,300ドルにも達していた。アタッカーが Moreno 氏のアカウントを乗っ取り、Bitcoin 採掘に利用していたためだ。

クラウドサービスを乗っ取り、Bitcoin を採掘するハッキングが増加 ― クラウドを利用する開発者は要注意
Moreno 氏が受け取った請求書の一部(Moreno 氏の Blog サイトより)

Moreno 氏は請求書を受け取った後、AWS に電話をかけ、サポート担当者に Moreno 氏のアカウントがビットコイン採掘に利用されている可能性が高いことを指摘される。同氏はそのときの気持ちを Blog で次のように述べている。

「あぁ、それなら納得できる。他の誰かの5,000ドルを利用して採掘し、例えば1,000ドル程度の Bitcoin を自分のものにしたのだ。このやり方なら、金の流れを追跡されることはない」

では、Moreno 氏の AWS アカウント情報は、どのようにして流出したのだろうか?

Moreno 氏は当初、乗っ取りは OpenSSL の Heartbleed バグに関連したものと考えたという。だが、実際はそうではなかった。Moreno 氏は自身で原因を調査した結果、GitHub リポジトリにコードをアップロードする際、誤って AWS のアクセスキーも含めてしまっていたことを発見した。そこには、アタッカーが Moreno 氏の AWS アカウントを乗っ取るのに必要なすべての情報があったという。

Moreno 氏の身に起きたことは、他の開発者にも起こりうることだ。同様の体験をしたという開発者からの報告は増加を続けている。セキュリティ研究者の Ty Miller 氏は GitHub 内を検索し、1万件近い AWS アカウントへのアクセスキーがアップされていることを発見したと述べている。

セキュリティの専門家は、GitHub とクラウドサービスを利用する開発者に対し、公開されているソースコード内にログイン情報が含まれていないか、もう一度確認するよう呼び掛けている。