「GitHub」への不正アクセスで緊急警告 何が狙われたのか？：GitHubのデータ流出事件の全貌【前編】

リポジトリが不正アクセスを受けたGitHubは、Mac用「GitHub Desktop」と「Atom」のユーザーに警告を出した。攻撃者は何を狙ったのか。

[Alex Scroxton，TechTarget]

　ソースコード共有サービス「GitHub」を運営するGitHub社（2018年にMicrosoftが買収）は2023年1月30日（現地時間）、同社のリポジトリ（保管場所）が漏えいした可能性があると緊急の警告を発した。影響を受けたのはGitHubのデスクトップ用アプリケーション「GitHub Desktop」を「Mac」で利用するユーザーと、オープンソースのソースコードエディター「Atom」のユーザーだ。

攻撃者は何を盗んだのか

併せて読みたいお薦め記事

データ漏えいの事例記事

• Dropboxのソースコードを「GitHub」で流出させたフィッシング攻撃の手口
• ライブ配信サービス「Twitch」のデータ漏えいを引き起こした“あの原因”とは

　攻撃者はGitHubのリポジトリにアクセスし、以下を盗み出した可能性がある。

• デジタル証明書の認証局を運営するDigiCertが発行した「コードサイニング証明書」2点
  • ソースコードの署名が信頼できるものであることを証明する。
• Appleの「Developer ID証明書」1点
  • Appleからアプリケーションを公認してもらうために用いる。

　GitHub社は2022年12月7日（現地時間）に不正なアクセスを検出し、調査を実施。同社は「GitHubへの不正な変更がないことを確認したため、約2カ月間攻撃の公表を控えた」と説明する。

　説明によると2022年12月6日（現地時間）、攻撃者はGitHubのマシンアカウント（コンピュータやサーバなどに関連付くアカウント）を盗み、それにひも付いた個人用アクセストークン（PAT）を悪用してリポジトリに不正アクセスした。具体的には、GitHub DesktopとAtom、GitHub社の関連組織のリポジトリにアクセスし、それらを複製した。

　不正アクセスの検出後、GitHubは漏えいした資格情報を直ちに無効化し、顧客と社内システムへの影響を調査した。影響を受けたリポジトリには、顧客データは存在しなかった。ただしGitHub DesktopやAtomが使用する、暗号化されたコードサイニング証明書が複数あった。攻撃者が暗号を解読してデジタル証明書を悪用した証拠は、2023年1月時点で見つかっていない。

---

　中編は、証明書の漏えいによる影響を解説する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。