GitHubの「デジタル証明書」“流出問題”を放置してはいけない理由：GitHubデータ流出の全貌【中編】

GitHubは、同社のリポジトリが不正アクセスを受け、複数のデジタル証明書が流出したことを公表した。これにより生じる「無視できない影響」とは。

[Alex Scroxton，TechTarget]

　2023年1月30日（現地時間）、ソースコード共有サービス「GitHub」を運営するGitHub社（2018年にMicrosoftが買収）は、同社のリポジトリ（保管場所）が不正アクセスを受けたことを公表した。これにより、GitHubのデスクトップ用アプリケーション「GitHub Desktop」を「Mac」で利用するユーザーと、オープンソースのソースコードエディター「Atom」のユーザーに影響が生じることとなった。

「デジタル証明書」を無効にしても影響は残る

併せて読みたいお薦め記事

連載：GitHubデータ流出の全貌

• 前編：「GitHub」への不正アクセスで緊急警告　何が狙われたのか？

深刻化するデータ流出問題

• 「Azure Blob Storage」のデータ流出問題が“大げさではない”理由
• トヨタのソースコード流出事件　再発防止のヒントはなぜ「OSS」にあるのか

　漏えいしたのは、デジタル証明書の認証局を運営するDigiCertが発行する「コードサイニング証明書」2点と、Appleの「Developer ID証明書」1点だ。

　コードサイニング証明書は、ソースコードに付随する署名が信頼できることを証明する。Developer ID証明書は、ベンダーがAppleからアプリケーションを公認してもらうために用いる証明書だ。いずれのデジタル証明書も暗号化されているため、盗まれたからといってGitHub DesktopやAtomが必ずしも危険にさらされるわけではない。だがもし攻撃者がデジタル証明書を解読できたとすれば、攻撃者はマルウェアを仕込んだアプリケーションに盗んだデジタル証明書で署名し、GitHub公式のアプリケーションとして偽装できるようになる。

　GitHubは漏えいした情報の悪用を予防する措置として、漏えいしたデジタル証明書を無効にした。これにより、デジタル証明書を用いて署名されたGitHub DesktopとAtomの一部のバージョンが2023年2月2日に利用できなくなる。そのため、Mac向けGitHub Desktopのバージョン「3.1.2」「3.1.1」「3.1.0」「3.0.8」「3.0.7」「3.0.6」「3.0.5」「3.0.4」「3.0.3」「3.0.2」のユーザーはアップデートが必要だ。「Windows」向けユーザーに影響はない。Atomのバージョン「1.63.1」および「1.63.0」も同じタイミングで動作しなくなるため、引き続き使用するには前のバージョンにロールバックする必要がある。

　「漏えいが判明した時点でコードサイニング証明書はいずれも有効期限が切れていたため、ソースコードの署名に使うことはできない」とGitHub社は説明する。一方でDeveloper ID証明書は有効期限が2027年だ。GitHubはAppleと協力し、今回漏えいしたDeveloper ID証明書で署名された実行ファイルが失効するまで監視を継続する。

　「GitHubおよび関連開発ツールのセキュリティと信頼性を確保することは、当社の最優先事項だ。GitHub DesktopとAtomを引き続き使用するには、推奨事項を実行してほしい」（GitHub社）

---

　後編は、今回の事件から得られた教訓を解説する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。