　コードサイニング証明書は、ソースコードに付随する署名が信頼できることを証明する。Developer ID証明書は、ベンダーがAppleからアプリケーションを公認してもらうために用いる証明書だ。いずれのデジタル証明書も暗号化されているため、盗まれたからといってGitHub DesktopやAtomが必ずしも危険にさらされるわけではない。だがもし攻撃者がデジタル証明書を解読できたとすれば、攻撃者はマルウェアを仕込んだアプリケーションに盗んだデジタル証明書で署名し、GitHub公式のアプリケーションとして偽装できるようになる。

　GitHubは漏えいした情報の悪用を予防する措置として、漏えいしたデジタル証明書を無効にした。これにより、デジタル証明書を用いて署名されたGitHub DesktopとAtomの一部のバージョンが2023年2月2日に利用できなくなる。そのため、Mac向けGitHub Desktopのバージョン「3.1.2」「3.1.1」「3.1.0」「3.0.8」「3.0.7」「3.0.6」「3.0.5」「3.0.4」「3.0.3」「3.0.2」のユーザーはアップデートが必要だ。「Windows」向けユーザーに影響はない。Atomのバージョン「1.63.1」および「1.63.0」も同じタイミングで動作しなくなるため、引き続き使用するには前のバージョンにロールバックする必要がある。

　「漏えいが判明した時点でコードサイニング証明書はいずれも有効期限が切れていたため、ソースコードの署名に使うことはできない」とGitHub社は説明する。一方でDeveloper ID証明書は有効期限が2027年だ。GitHubはAppleと協力し、今回漏えいしたDeveloper ID証明書で署名された実行ファイルが失効するまで監視を継続する。

　「GitHubおよび関連開発ツールのセキュリティと信頼性を確保することは、当社の最優先事項だ。GitHub DesktopとAtomを引き続き使用するには、推奨事項を実行してほしい」（GitHub社）

　後編は、今回の事件から得られた教訓を解説する。

Computer Weekly発世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

TechTargetジャパントップセキュリティ