検索
特集/連載

GitHubの「デジタル証明書」“流出問題”を放置してはいけない理由GitHubデータ流出の全貌【中編】

GitHubは、同社のリポジトリが不正アクセスを受け、複数のデジタル証明書が流出したことを公表した。これにより生じる「無視できない影響」とは。

Share
Tweet
LINE
Hatena

 2023年1月30日(現地時間)、ソースコード共有サービス「GitHub」を運営するGitHub社(2018年にMicrosoftが買収)は、同社のリポジトリ(保管場所)が不正アクセスを受けたことを公表した。これにより、GitHubのデスクトップ用アプリケーション「GitHub Desktop」を「Mac」で利用するユーザーと、オープンソースのソースコードエディター「Atom」のユーザーに影響が生じることとなった。

「デジタル証明書」を無効にしても影響は残る

 漏えいしたのは、デジタル証明書の認証局を運営するDigiCertが発行する「コードサイニング証明書」2点と、Appleの「Developer ID証明書」1点だ。

 コードサイニング証明書は、ソースコードに付随する署名が信頼できることを証明する。Developer ID証明書は、ベンダーがAppleからアプリケーションを公認してもらうために用いる証明書だ。いずれのデジタル証明書も暗号化されているため、盗まれたからといってGitHub DesktopやAtomが必ずしも危険にさらされるわけではない。だがもし攻撃者がデジタル証明書を解読できたとすれば、攻撃者はマルウェアを仕込んだアプリケーションに盗んだデジタル証明書で署名し、GitHub公式のアプリケーションとして偽装できるようになる。

 GitHubは漏えいした情報の悪用を予防する措置として、漏えいしたデジタル証明書を無効にした。これにより、デジタル証明書を用いて署名されたGitHub DesktopとAtomの一部のバージョンが2023年2月2日に利用できなくなる。そのため、Mac向けGitHub Desktopのバージョン「3.1.2」「3.1.1」「3.1.0」「3.0.8」「3.0.7」「3.0.6」「3.0.5」「3.0.4」「3.0.3」「3.0.2」のユーザーはアップデートが必要だ。「Windows」向けユーザーに影響はない。Atomのバージョン「1.63.1」および「1.63.0」も同じタイミングで動作しなくなるため、引き続き使用するには前のバージョンにロールバックする必要がある。

 「漏えいが判明した時点でコードサイニング証明書はいずれも有効期限が切れていたため、ソースコードの署名に使うことはできない」とGitHub社は説明する。一方でDeveloper ID証明書は有効期限が2027年だ。GitHubはAppleと協力し、今回漏えいしたDeveloper ID証明書で署名された実行ファイルが失効するまで監視を継続する。

 「GitHubおよび関連開発ツールのセキュリティと信頼性を確保することは、当社の最優先事項だ。GitHub DesktopとAtomを引き続き使用するには、推奨事項を実行してほしい」(GitHub社)


 後編は、今回の事件から得られた教訓を解説する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る